Je suis étonné que ça n'ai pas fait plus de bruit :

https://lowlevel.fun/posts/tiny-udp-cannon-android-vpn-bypass/

Un chercheur en cyber sécurité révèle qu'il est possible pour n'importe quelle application Android de faire fuiter l'IP réelle du mobile malgré l'utilisation d'un VPN, même lorsque les options "Always-On VPN" et "Block connections without VPN" sont activées.

La faille vient d'une fonctionnalité introduite dans Android 16 QPR1, permettant à une application de demander au système de fermer proprement une connection QUIC après une terminaison anormale. Au final, Cette fonctionnalité permet à l'application d'envoyer automatiquement après sa fermeture un paquet UDP au serveur de son choix. Ce paquet ne passe pas par le VPN et a donc pour IP source... L'IP réelle du mobile.

La vulnérabilité a été soumise à Google, qui de manière incompréhensible a indiqué qu'elle ne serait pas corrigée. GrapheneOS a en revanche corrigé la faille en moins d'une semaine.