это шляпа со всякими словарями/предикторами/свайпами и прочей муйней. когда смарт угадывает слово и автор тычет в него пальцем, клавиатура сразу ставит пробел и готовится угадывать следующий высер, но автор ставит знак препинания.
Во-первых, возможно это баг в приложении. Или возможно, чтобы видеть всю информацию, приложению не хватает прав или его частично блочит selinux и т.п. Вариантов тут масса.
Во-вторых, не очень понятно откуда вообще это приложение берёт инфу о заблокированных пакетах. Судя по «Логи брэндмауэра», оно парсит какие-то логи. Чтобы понять откуда в этих логах взялось «ядро Linux» и некое «AppID: -11» и что это всё значит, нужно как минимум понять, что именно эти логи пишет и какой смысл в них вкладывается.
В-третьих, существуют ситуации, когда приложение уже закрыло со своей стороны сокет и может даже успело убиться, но ядро всё ещё должно что-то доделать с соединением. Доотправить оставшиеся данные, дождаться уведомления о закрытии соединения с другой стороны и так далее. В этом случае у соединения действительно не будет связанного юзерспейсного процесса.
В-четвёртых, если очень захотеть, то можно написать модуль ядра, который сам будет открывать сокеты и что-то через них отправлять и получать. В обычном линуксовом ядре уже есть как минимум реализация NFS-сервера, которая занимается именно этим для предоставления доступа к файловой системе через сеть. Но у тебя на скриншоте в основном порт 443 - HTTPS. Очень маловероятно, что кто-то упоролся настолько, что затащил в ядро полноценный стек для HTTPS.
Это не ядро линукс, это все демоны и консольные программы, работающие не из под Art/Dalvik, например трафик демона ntp тоже будет помечен как трафик ядра.
Да это даже не тупняк, а идиотизм. Летающие баки Илона Маска в толксах, например, хоть какую-то дискуссию порождают, а этот высер только место занимает.
Так это если она гугловская, или AOSPшная, или, допустим, вендорская.
А так люди сначала начитаются, что гугловская стучит (а она да, если с дефолтными настройками) и ставят (а на плеймаркете их как волос) ту, которая кривая но в Гугл не стучит. Или и в Гугл стучит, просто сказать стесняется. Я знаю, потому что с клавами игрался, пока не понял, что всё-таки гугловская самая удобная, особенно если ей лишнее убрать.
Да и гугловская не стучит. Достаточно просто внимательно посмотреть в её же настройках и отключить.
Лайфхак. Даже если GBoard есть из коробки и сидит на UID 1000, её можно выкинуть (при наличии рут прав, естественно) и установить «такую же но другую» GBoard, которая сядет уже́ на другой UID. Тогда именно её сетевую активность можно будет отследить. Так я и проверял.
Но вот такое жирное ЗЫ. Inter-process communication способно сделать из Андроида такое блудилище, что непонятно, кто, через кого, куда лезет и что при этом выносит. А ведь хорошо придумано было: каждое приложение - отдельный юзер, которому по UID можно разрешить, а можно заткнуть. Было.
Да, в Android ядро, сделанное на основе ядра Linux. И вот, если есть подозрение, что ядро Android делает недоброе... А нафига ядру вообще сеть? Есть AFWall+? Вот им и заткнуть ядру сеть.
С одной стороны, ядро само по себе ничего не делает. Даже сеть не поднимает. С другой стороны, сеть это внутренняя подсистема ядра, и по сути каждый пакет проходит через него.
Но вообще главный вопрос это что именно файервол считает трафиком ядра.