Happ исправил критическую уязвимость в VPN-клиенте, но риск утечки зарубежного IP-адреса остался

Влад Войтенко — 11.04.2026

Happ, один из самых популярных среди россиян VLESS-клиентов, оперативно исправил опасную брешь, которая позволяла сторонним приложениям «видеть насквозь» всю VPN-инфраструктуру внутри клиента.

Однако возможность выяснить реальный IP-адрес выхода в Сеть всё ещё остаётся, выяснил «Код Дурова».

Что исправили?

Речь идёт об удалении HandlerService, которая позволяла сторонним приложениям выявлять подробную информацию об установленных VPN-серверах внутри самого приложения Happ. Исходя из расследования, опубликованного несколько дней назад, следовало, что эта брешь могла привести к расшифровке всего зарубежного трафика в целом:

«Наиболее опасная ситуация выявлена в клиенте Happ. Приложение оставляет открытым доступ к Xray API, что позволяет не только узнать адрес сервера, но и полностью выгрузить конфигурационные файлы со всеми ключами доступа», — объяснял «Код Дурова» со ссылкой на расследование пользователя «Хабра» под ником runetfreedom.

Что не исправили?

О полной уверенности в безопасности использования Happ пока говорить рано. Разработчики приложения сообщили только об удалении API HandlerService из конфигураций, однако уязвимость в локальных прокси всё ещё доступна и позволяет выяснить реальный IP-адрес текущего сервера VPN — уведомления об исправлении этой бреши не поступало.

Речь идёт о следующей уязвимости, на которую ранее было обращено внимание в том же расследовании:

«Проблема затронула приложения Hiddify, v2rayNG, NekoBox, Happ и другие популярные сервисы, которые при работе поднимают на устройстве локальный SOCKS5-прокси без авторизации. Любой сторонний софт — от мобильных банков до скрытых шпионских модулей — может отправить запрос к этому прокси через локальный адрес 127.0.0.1 и получить реальный IP-адрес выхода в сеть».

По состоянию на 11 апреля подвижки в устранении опасных уявзимостей были зафиксированы только со стороны Happ. Ранее представители Happ отказывались вносить исправления. Об исправлении аналогичных брешей в других VLESS-клиентах, которые популярны среди российских пользователей, ничего не известно.

Подробнее о технических особенностях уязвимостей и о том, какие клиенты подвержены уязвимости, читайте в отдельном материале:

В Happ, v2rayNG и других VLESS-клиентах нашли брешь, позволяющую деанонимизировать серверы
Архитектурная ошибка позволяет любому установленному на смартфоне приложению узнать IP-адрес прокси-сервера пользователя и передать его для последующей блокировки.
Код ДуроваМакс Варламов