Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Ваш VPN вас выдает. Популярные клиенты (v2rayNG, Clash, Hiddify) оказались уязвимы

VLESS VPN уязвимость socks5 РКН
Ваш VPN вас выдает. Популярные клиенты (v2rayNG, Clash, Hiddify) оказались уязвимы
VLESS VPN уязвимость socks5 РКН

В мобильных VLESS-клиентах нашли критическую «дыру».

image

Исследователь под псевдонимом runetfreedom сообщил о критической уязвимости, которая затрагивает все популярные мобильные VLESS-клиенты. По его словам, уязвимость позволяет внешнему наблюдателю, в том числе шпионскому ПО на устройстве, обнаружить реальный исходящий IP-адрес VPN-сервера, которым пользуется человек.

По данным публикации, проблема кроется в архитектуре клиентов на базе xray и sing-box: все они запускают локальный socks5-прокси без авторизации. Функция раздельного туннелирования (per-app split tunneling) реализована через системный VpnService, однако шпионское приложение может подключиться к локальному socks5-прокси напрямую, минуя этот сервис, и получить исходящий IP-адрес. Автор также отмечает, что изоляция через Android Private Space (Knox, Shelter, Island и аналоги) в данном случае не работает: loopback-интерфейс в этих окружениях не изолируется, что делает защиту иллюзорной.

10 марта 2026 года исследователь уведомил разработчиков всех затронутых приложений. По его словам, к 7 апреля 2026 года ни одна из команд уязвимость не устранила. В числе уязвимых клиентов он называет v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, а также популярные Clash и Sing-box в типовых конфигурациях.

Отдельно автор выделяет клиент Happ. По его данным, приложение активирует xray API без авторизации с включённым HandlerService, что позволяет извлечь из клиента пользовательские конфиги, включая ключи, входной IP-адрес сервера и SNI. Исследователь пишет, что при наличии дополнительной распространённой уязвимости конфигурации xray эти данные теоретически позволяют расшифровать трафик пользователя. Когда он сообщил об этом разработчикам Happ и предоставил proof-of-concept, те объяснили включение HandlerService необходимостью сбора статистики подключений. Автор называет это объяснение несостоятельным. По его словам, для сбора статистики достаточно LogService, который в приложении также активирован. Клиент Happ был удалён из российского App Store, поэтому выпустить исправление разработчики технически не смогут.

Как указывает автор, радикального решения проблемы пока нет. На iOS ситуация особенно сложная: большинство клиентов удалено из магазина и не получит обновлений. Даже если кто-то из разработчиков выпустит исправление, у большого числа пользователей останутся старые версии.

В качестве частичных мер исследователь предлагает разделить входной и исходящий IP-адреса сервера, настроить раздельную маршрутизацию и заблокировать на сервере обратный доступ к российским адресам. Для пользователей Windows он указывает, что нужная стратегия уже реализована в клиенте v2rayN в виде пресета «Все, кроме РФ».

Уже после публикации разработчики Happ сначала отказались признавать проблему уязвимостью, однако затем, по данным автора, всё же согласились исправить обе найденные уязвимости.