В Happ, v2rayNG и других VLESS-клиентах нашли брешь, позволяющую деанонимизировать серверы

Исследователь под ником runetfreedom обнаружил критическую уязвимость в популярных VPN-клиентах на базе ядер Xray и sing-box.

Архитектурная ошибка позволяет любому установленному на смартфоне приложению узнать IP-адрес прокси-сервера пользователя и передать его для последующей блокировки, утверждает автор исследования.

Проблема затронула приложения Hiddify, v2rayNG, NekoBox, Happ и другие популярные сервисы, которые при работе поднимают на устройстве локальный SOCKS5-прокси без авторизации. Любой сторонний софт — от мобильных банков до скрытых шпионских модулей — может отправить запрос к этому прокси через локальный адрес 127.0.0.1 и получить реальный IP-адрес выхода в сеть.

Поскольку loopback-интерфейс (локальная сеть внутри устройства) не изолируется системными «песочницами» вроде Knox или Shelter, использование защищённых пространств не спасает от утечки данных.

Какие клиенты подвержены уязвимости:

• Happ;
• v2RayTun;
• V2BOX;
• v2rayNG;
• Hiddify;
• Exclave;
• Npv Tunnel;
• Neko Box.

Наиболее опасная ситуация выявлена в клиенте Happ. Приложение оставляет открытым доступ к Xray API, что позволяет не только узнать адрес сервера, но и полностью выгрузить конфигурационные файлы со всеми ключами доступа. По словам автора исследования, большинство разработчиков проигнорировало отчёты об уязвимости, а представители Happ отказались вносить исправления. Некоторые разработчики проблему исправят, но какие конкретно — не сообщается.

Напомним, Минцифры попросило площадки с крупнейшей в стране аудиторией помочь с блокировкой VPN. Более того, фактически российские сервисы будут обязаны передавать регулятору информацию о новых обнаруженных VPN.