La modalità Always-On VPN di Android, insieme all’opzione “Blocca connessioni senza VPN”, dovrebbe impedire al telefono di inviare traffico fuori dal tunnel cifrato. Una nuova analisi ripresa da Android Authority segnala però un caso limite in Android 16: una piccola porzione di traffico può uscire durante la chiusura di certe connessioni, bypassando la protezione. GrapheneOS ha già scelto una strada netta: nella release 2026050400 ha disattivato l’ottimizzazione coinvolta, chiamata registerQuicConnectionClosePayload, per chiudere il leak.
Non è il classico allarme “il VPN non serve a nulla”, quindi niente panico da forum alle tre di notte. Il punto è più tecnico e più interessante: se un’app malevola è già installata sul dispositivo, può sfruttare quel comportamento per far uscire un pacchetto minuscolo dalla connessione normale. Se dentro quel pacchetto viene inserito l’indirizzo IP reale, la promessa del VPN lockdown diventa meno assoluta di quanto sembri nelle impostazioni.
Cosa è successo
Secondo la ricostruzione pubblicata da Android Authority, il problema riguarda Android 16 e nasce da una ottimizzazione di rete. Google avrebbe classificato la segnalazione come “Won’t Fix (Infeasible)”, quindi senza inserirla in un bollettino di sicurezza. GrapheneOS, invece, ha trattato il caso come un problema pratico di privacy: nelle note ufficiali della release 2026050400 compare la voce “disable registerQuicConnectionClosePayload optimization to fix VPN leak”. Tradotto: meno eleganza interna, più prevedibilità per chi usa il telefono con requisiti seri di isolamento del traffico.
Come verificare se sei esposto
La prima distinzione è semplice: se usi GrapheneOS aggiornato almeno alla release 2026050400 su Pixel compatibile, il fix risulta già incluso. Se usi Android stock, una ROM diversa o un dispositivo del produttore con Android 16, non dare per scontato che la correzione sia presente. Controlla prima la versione del sistema da Impostazioni > Informazioni sul telefono, poi verifica la data dell’ultimo aggiornamento di sicurezza e del sistema Google Play.
Il secondo controllo riguarda la configurazione del VPN. Apri Impostazioni, entra nella sezione Rete e Internet, seleziona il tuo servizio VPN e verifica che siano attive sia l’opzione VPN sempre attiva sia Blocca connessioni senza VPN. Questo non elimina automaticamente il bug su Android stock, ma impedisce almeno le perdite più banali dovute a configurazioni deboli, riconnessioni mal gestite o app VPN lasciate in modalità “best effort”.
Cosa puoi fare adesso
Per un utente normale il rischio resta contenuto: serve un’app malevola già installata e serve un attacco mirato. Però chi usa il VPN per lavoro, giornalismo, amministrazione remota, reti aziendali o threat model più aggressivi dovrebbe trattare il problema come un limite reale, non come una curiosità accademica. La prima misura è ridurre la superficie: disinstalla app sconosciute, evita APK laterali non verificati, controlla i permessi di rete e tieni aggiornati sistema, Play services e app VPN.
Se gestisci dispositivi più sensibili, valuta anche una policy più rigida: profilo separato per le app non fidate, browser isolato per attività critiche, DNS coerente con il provider VPN e test periodici dell’IP pubblico dopo sospensione, cambio rete Wi-Fi/LTE e riavvio. Non è una soluzione magica, ma evita l’errore più costoso: credere che una spunta nelle impostazioni equivalga a una garanzia crittografica scolpita nel granito.
Cosa cambia davvero
La notizia pesa perché mostra la differenza tra sicurezza dichiarata e sicurezza operativa. Android offre impostazioni potenti, ma la loro affidabilità dipende da dettagli di implementazione che l’utente non vede. GrapheneOS ha scelto di sacrificare una ottimizzazione per chiudere un caso limite; Android stock, al momento, non sembra avere una correzione ufficiale equivalente. Per chi usa il telefono come strumento di lavoro, la lezione è pratica: il modello di minaccia conta più del marketing del VPN.
Correlato: se stai rivedendo la sicurezza del telefono, vale la pena controllare anche la guida AndroidLab sulle passkey e la sicurezza dell’Account Google su Android.
In breve
- Android 16 può avere un caso limite in cui un piccolo traffico bypassa il VPN lockdown.
- GrapheneOS ha corretto il problema nella release 2026050400.
- Il rischio quotidiano è limitato, ma diventa più serio con app malevole già installate.
- Su Android stock non risulta una correzione ufficiale equivalente al fix GrapheneOS.
- Controlla VPN sempre attiva, blocco senza VPN, aggiornamenti e app installate da fonti esterne.