В популярных VLESS-клиентах нашли уязвимость с раскрытием IP сервера
Известные VPN-клиенты, работающие по протоколу VLESS, оказались подвержены общей архитектурной проблеме: сторонние приложения на том же устройстве потенциально способны узнать реальный IP-адрес прокси-сервера. Именно такие адреса чаще всего и попадают под блокировки, поэтому находка напрямую касается пользователей в России.
В чём суть уязвимости
По данным исследователя, публиковавшегося под ником runetfreedom, затронуты практически все распространённые клиенты на базе VLESS — среди них называют Happ, v2rayNG, v2RayTun, V2BOX, Hiddify, Exclave, Npv Tunnel и Neko Box, а также типовые конфигурации Clash и sing-box.
Причина общая: для маршрутизации трафика приложения поднимают на устройстве локальный socks5-прокси без авторизации. Схема выглядит как «VpnService — tun2socks — локальный socks5 — VPN-сервер». Если на смартфоне установлено приложение со «шпионским» модулем, ничто не мешает ему обратиться напрямую к этому локальному интерфейсу в обход VPN-туннеля и определить внешний IP сервера.
Почему это важно именно сейчас
Раскрытие реального адреса сервера — это фактически готовая цель для блокировки. Узнав IP, его можно внести в списки ограничений, и конкретный сервер перестанет работать. В условиях, когда фильтрующее оборудование и так активно вычисляет VPN-инфраструктуру, дополнительный канал утечки адресов заметно упрощает эту задачу.
Отдельно исследователь выделил клиент Happ: по его описанию, приложение поднимало xray API без авторизации с включённым HandlerService, что теоретически позволяло вытянуть пользовательские конфиги вместе с ключами, входным IP-адресом сервера и значением SNI.
Как отреагировали разработчики
О проблеме разработчиков уведомили 10 марта 2026 года, публичное описание появилось в апреле. По утверждению автора, на момент публикации ни одна из команд уязвимость ещё не закрыла. После огласки разработчики Happ сначала не согласились считать это уязвимостью, но затем под давлением сообщества пообещали устранить оба недостатка.
В качестве защиты предлагаются технические меры на стороне клиентов — прежде всего добавление авторизации для локального socks5-прокси и ограничение доступа к внутреннему API. Пользователям, в свою очередь, стоит вовремя обновлять приложения до версий с исправлениями и не устанавливать сомнительный сторонний софт на то же устройство, где работает VPN-клиент.
Источник: Xakep.ru