Ваш VPN вас выдает. Популярные клиенты (v2rayNG, Clash, Hiddify) оказались уязвимы
NewsMakerВ мобильных VLESS-клиентах нашли критическую «дыру».
Исследователь под псевдонимом runetfreedom сообщил о критической уязвимости, которая затрагивает все популярные мобильные VLESS-клиенты. По его словам, уязвимость позволяет внешнему наблюдателю, в том числе шпионскому ПО на устройстве, обнаружить реальный исходящий IP-адрес VPN-сервера, которым пользуется человек.
По данным публикации, проблема кроется в архитектуре клиентов на базе xray и sing-box: все они запускают локальный socks5-прокси без авторизации. Функция раздельного туннелирования (per-app split tunneling) реализована через системный VpnService, однако шпионское приложение может подключиться к локальному socks5-прокси напрямую, минуя этот сервис, и получить исходящий IP-адрес. Автор также отмечает, что изоляция через Android Private Space (Knox, Shelter, Island и аналоги) в данном случае не работает: loopback-интерфейс в этих окружениях не изолируется, что делает защиту иллюзорной.
10 марта 2026 года исследователь уведомил разработчиков всех затронутых приложений. По его словам, к 7 апреля 2026 года ни одна из команд уязвимость не устранила. В числе уязвимых клиентов он называет v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, а также популярные Clash и Sing-box в типовых конфигурациях.
Отдельно автор выделяет клиент Happ. По его данным, приложение активирует xray API без авторизации с включённым HandlerService, что позволяет извлечь из клиента пользовательские конфиги, включая ключи, входной IP-адрес сервера и SNI. Исследователь пишет, что при наличии дополнительной распространённой уязвимости конфигурации xray эти данные теоретически позволяют расшифровать трафик пользователя. Когда он сообщил об этом разработчикам Happ и предоставил proof-of-concept, те объяснили включение HandlerService необходимостью сбора статистики подключений. Автор называет это объяснение несостоятельным. По его словам, для сбора статистики достаточно LogService, который в приложении также активирован. Клиент Happ был удалён из российского App Store, поэтому выпустить исправление разработчики технически не смогут.
Исследователь под псевдонимом runetfreedom сообщил о критической уязвимости, которая затрагивает все популярные мобильные VLESS-клиенты. По его словам, уязвимость позволяет внешнему наблюдателю, в том числе шпионскому ПО на устройстве, обнаружить реальный исходящий IP-адрес VPN-сервера, которым пользуется человек.
По данным публикации, проблема кроется в архитектуре клиентов на базе xray и sing-box: все они запускают локальный socks5-прокси без авторизации. Функция раздельного туннелирования (per-app split tunneling) реализована через системный VpnService, однако шпионское приложение может подключиться к локальному socks5-прокси напрямую, минуя этот сервис, и получить исходящий IP-адрес. Автор также отмечает, что изоляция через Android Private Space (Knox, Shelter, Island и аналоги) в данном случае не работает: loopback-интерфейс в этих окружениях не изолируется, что делает защиту иллюзорной.
10 марта 2026 года исследователь уведомил разработчиков всех затронутых приложений. По его словам, к 7 апреля 2026 года ни одна из команд уязвимость не устранила. В числе уязвимых клиентов он называет v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, а также популярные Clash и Sing-box в типовых конфигурациях.
Отдельно автор выделяет клиент Happ. По его данным, приложение активирует xray API без авторизации с включённым HandlerService, что позволяет извлечь из клиента пользовательские конфиги, включая ключи, входной IP-адрес сервера и SNI. Исследователь пишет, что при наличии дополнительной распространённой уязвимости конфигурации xray эти данные теоретически позволяют расшифровать трафик пользователя. Когда он сообщил об этом разработчикам Happ и предоставил proof-of-concept, те объяснили включение HandlerService необходимостью сбора статистики подключений. Автор называет это объяснение несостоятельным. По его словам, для сбора статистики достаточно LogService, который в приложении также активирован. Клиент Happ был удалён из российского App Store, поэтому выпустить исправление разработчики технически не смогут.