VPN, доступ и защита соединения — иллюстрация
Новости#VLESS#уязвимость#Happ

В популярных VLESS-клиентах нашли уязвимость с раскрытием IP сервера

Известные VPN-клиенты, работающие по протоколу VLESS, оказались подвержены общей архитектурной проблеме: сторонние приложения на том же устройстве потенциально способны узнать реальный IP-адрес прокси-сервера. Именно такие адреса чаще всего и попадают под блокировки, поэтому находка напрямую касается пользователей в России.

В чём суть уязвимости

По данным исследователя, публиковавшегося под ником runetfreedom, затронуты практически все распространённые клиенты на базе VLESS — среди них называют Happ, v2rayNG, v2RayTun, V2BOX, Hiddify, Exclave, Npv Tunnel и Neko Box, а также типовые конфигурации Clash и sing-box.

Причина общая: для маршрутизации трафика приложения поднимают на устройстве локальный socks5-прокси без авторизации. Схема выглядит как «VpnService — tun2socks — локальный socks5 — VPN-сервер». Если на смартфоне установлено приложение со «шпионским» модулем, ничто не мешает ему обратиться напрямую к этому локальному интерфейсу в обход VPN-туннеля и определить внешний IP сервера.

Почему это важно именно сейчас

Раскрытие реального адреса сервера — это фактически готовая цель для блокировки. Узнав IP, его можно внести в списки ограничений, и конкретный сервер перестанет работать. В условиях, когда фильтрующее оборудование и так активно вычисляет VPN-инфраструктуру, дополнительный канал утечки адресов заметно упрощает эту задачу.

Отдельно исследователь выделил клиент Happ: по его описанию, приложение поднимало xray API без авторизации с включённым HandlerService, что теоретически позволяло вытянуть пользовательские конфиги вместе с ключами, входным IP-адресом сервера и значением SNI.

Как отреагировали разработчики

О проблеме разработчиков уведомили 10 марта 2026 года, публичное описание появилось в апреле. По утверждению автора, на момент публикации ни одна из команд уязвимость ещё не закрыла. После огласки разработчики Happ сначала не согласились считать это уязвимостью, но затем под давлением сообщества пообещали устранить оба недостатка.

В качестве защиты предлагаются технические меры на стороне клиентов — прежде всего добавление авторизации для локального socks5-прокси и ограничение доступа к внутреннему API. Пользователям, в свою очередь, стоит вовремя обновлять приложения до версий с исправлениями и не устанавливать сомнительный сторонний софт на то же устройство, где работает VPN-клиент.

Источник: Xakep.ru

Другие новости

15 июля 2026 г.Что с WhatsApp в России 15 июля 2026: сбои, замедление и планы окончательной блокировки15 июля 2026 года пользователи из большинства регионов России снова жалуются на сбои в WhatsApp: не открываются чаты, не отправляются сообщения и медиа. Разбираем, что известно о замедлении мессенджера, позиции Роскомнадзора и заявлениях о возможной окончательной блокировке.15 июля 2026 г.Роскомнадзор изменил подход к блокировке VPN: под ограничения попадают облачные сервисы и обычные сайтыНовая тактика Роскомнадзора по блокировке VPN приводит к побочным сбоям: жалобы на недоступность сайтов фиксировали клиенты крупных российских хостингов. Разбираем, как система принимает решения по косвенным признакам и почему под ограничения попадает обычный трафик.14 июля 2026 г.Мобильный интернет 14 июля 2026: в каких регионах России фиксируют перебои14 июля 2026 года пользователи из десятков регионов России снова сообщают о перебоях с мобильным интернетом. Разбираем данные сервисов мониторинга, какие регионы затронуты и что известно о причинах ограничений.
Все новости →