Исследователь сообщил о серьезной уязвимости в VLESS-клиентах - «Новости» » Интернет технологии
sitename
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Разработчики Flipper Zero пересмотрели подход к развитию прошивки - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
Специалисты Google нарушили работу сети резидентных прокси NetNut - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
19-летнего участника группировки Scattered Spider экстрадировали в США - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Из-за взлома Oracle PeopleSoft у компании Nissan украли данные - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Вымогательская группа Gentlemen обновляет свой инструментарий - «Новости»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
Российские двигатели в последний раз доставили на орбиту пакет спутников Amazon Leo на ракете Atlas V - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
GitHub подшутила над Sony и предложила разработчикам выслать их репозитории на CD-дисках - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Xiaomi похвасталась, что продала 500 млн смартфонов Redmi Note — новый Redmi Note 17 уже на подходе - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
Японцы намерены переводить ДВС на водород вместо использования топливных ячеек - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
OxygenOS и Realme UI отправят на свалку истории — OnePlus и Realme перейдут на ColorOS - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Исследователь сообщил о серьезной уязвимости в VLESS-клиентах - «Новости»

Пользователь под ником runetfreedom рассказал на «Хабре» о серьезной проблеме, которая затрагивает большинство мобильных VLESS-клиентов на базе xray и sing-box. Баг позволяет вычислить реальный исходящий IP прокси-сервера и обойти per-app split tunneling, а в случае одного из клиентов — извлечь пользовательские конфиги.


По словам специалиста, корень проблемы кроется в самой архитектуре: клиенты поднимают на устройстве локальный socks5-прокси без авторизации. Раздельное туннелирование по приложениям реализовано через системный VpnService, который заворачивает трафик в tun2socks, а оттуда — в socks5 и дальше на VPN-сервер. Если на устройстве присутствует шпионский модуль (например, в составе какого-либо приложения), ничто не мешает ему напрямую «достучаться» до этого socks5 в обход VpnService и узнать выходной IP.



Исследователь сообщил о серьезной уязвимости в VLESS-клиентах - «Новости»


Изоляция через приватные пространства в Android (Knox, Shelter, Island и прочие аналоги), по словам исследователя, тоже не поможет: VpnService в них действительно изолируется, а вот loopback-интерфейс — нет. То есть потенциальная малварь может сканировать localhost и обнаруживать открытый socks5 даже из приватного окружения. Подчеркивается, что это особенно опасно, так как у пользователя в этом случае возникает ложное чувство защищенности.


PoC для обхода split tunneling автор публикации выложил на GitHub.


10 марта 2026 года исследователь разослал информацию о проблеме разработчикам всех популярных клиентов. Однако по состоянию на 7 апреля 2026 года, когда вышла публикация на «Хабре», уязвимость не исправил никто.


В числе уязвимых runetfreedom перечисляет: v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, а также большинство типовых конфигураций Clash и Sing-box.


Отдельного внимания в статье удостоился клиент Happ. По данным исследователя, он без какой-либо авторизации поднимает xray API с включенным HandlerService, что позволяет извлекать пользовательские конфигурации вместе с ключами, входным IP сервера и SNI. Если к этому прибавить еще одну распространенную ошибку конфигурации xray (детали исследователь не раскрывает), теоретически появляется возможность даже расшифровать трафик. Также подчеркивается, что клиент недавно был удален из российского App Store, так что выпустить апдейт его команда уже технически не сможет.


При этом разработчики Happ объяснили активный HandlerService «сбором статистики подключений», однако автор исследования назвал это отговоркой, отметив, что для этого хватило бы LogService.


Параллельно с этим специалист обращает внимание на свежую методичку, которую представители Минцифры, по данным СМИ, недавно разослали крупным российским компаниям. Он отмечает, что в документе перечислены характерные порты SOCKS, HTTP- и прозрачных прокси, а также Tor. Из-за этого runetfreedom полагает, что регулятор либо уже знает о баге, либо вот-вот обнаружит его самостоятельно. В статье автор перечисляет ряд возможных технических мер по снижению рисков.


Уже после выхода публикации runetfreedom разработчики Happ сначала отказались признавать находку уязвимостью, но затем под давлением сообщества пообещали исправить обе проблемы.


Пользователь под ником runetfreedom рассказал на «Хабре» о серьезной проблеме, которая затрагивает большинство мобильных VLESS-клиентов на базе xray и sing-box. Баг позволяет вычислить реальный исходящий IP прокси-сервера и обойти per-app split tunneling, а в случае одного из клиентов — извлечь пользовательские конфиги. По словам специалиста, корень проблемы кроется в самой архитектуре: клиенты поднимают на устройстве локальный socks5-прокси без авторизации. Раздельное туннелирование по приложениям реализовано через системный VpnService, который заворачивает трафик в tun2socks, а оттуда — в socks5 и дальше на VPN-сервер. Если на устройстве присутствует шпионский модуль (например, в составе какого-либо приложения), ничто не мешает ему напрямую «достучаться» до этого socks5 в обход VpnService и узнать выходной IP. Изоляция через приватные пространства в Android (Knox, Shelter, Island и прочие аналоги), по словам исследователя, тоже не поможет: VpnService в них действительно изолируется, а вот loopback-интерфейс — нет. То есть потенциальная малварь может сканировать localhost и обнаруживать открытый socks5 даже из приватного окружения. Подчеркивается, что это особенно опасно, так как у пользователя в этом случае возникает ложное чувство защищенности. PoC для обхода split tunneling автор публикации выложил на GitHub. 10 марта 2026 года исследователь разослал информацию о проблеме разработчикам всех популярных клиентов. Однако по состоянию на 7 апреля 2026 года, когда вышла публикация на «Хабре», уязвимость не исправил никто. В числе уязвимых runetfreedom перечисляет: v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, а также большинство типовых конфигураций Clash и Sing-box. Отдельного внимания в статье удостоился клиент Happ. По данным исследователя, он без какой-либо авторизации поднимает xray API с включенным HandlerService, что позволяет извлекать пользовательские конфигурации вместе с ключами, входным IP сервера и SNI. Если к этому прибавить еще одну распространенную ошибку конфигурации xray (детали исследователь не раскрывает), теоретически появляется возможность даже расшифровать трафик. Также подчеркивается, что клиент недавно был удален из российского App Store, так что выпустить апдейт его команда уже технически не сможет. При этом разработчики Happ объяснили активный HandlerService «сбором статистики подключений», однако автор исследования назвал это отговоркой, отметив, что для этого хватило бы LogService. Параллельно с этим специалист обращает внимание на свежую методичку, которую представители Минцифры, по данным СМИ, недавно разослали крупным российским компаниям. Он отмечает, что в документе перечислены характерные порты SOCKS, HTTP- и прозрачных прокси, а также Tor. Из-за этого runetfreedom полагает, что регулятор либо уже знает о баге, либо вот-вот обнаружит его самостоятельно. В статье автор перечисляет ряд возможных технических мер по снижению рисков. Уже после выхода публикации runetfreedom разработчики Happ сначала отказались признавать находку уязвимостью, но затем под давлением сообщества пообещали исправить обе проблемы.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS
запостил(а)
Bennett
Вернуться назад

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: