Zpět na domů

Zranitelnost VLESS: obcházení split tunneling v klientech

Článek odhaluje kritickou zranitelnost v VLESS-klientech na bázi xray/sing-box, umožňující spyware obcházet split tunneling a private spaces pro získání IP. Otestováni populární klienti, Happ je obzvláště nebezpečný kvůli dumpu konfigurací. Doporučena opatření: oddělení IP, geoip-maršrutizace.

VLESS klienti jsou zranitelní: únik IP přes SOCKS5 bez auth
Advertisement 728x90

Kritická zranitelnost v klientech VLESS: obcházení split tunneling a únik IP

Všechny oblíbené mobilní klienty VLESS založené na xray/sing-box spouštějí lokální SOCKS5 proxy bez autentizace. To umožňuje spyware obejít per-app split tunneling a private spaces (Knox, Shelter, Island), přímo skenováním localhost portů a extrahováním výstupní IP proxy.

Schéma trafiky standardní:

VpnService -> tun2socks -> xray socks5 -> VPN server -> freedom

Spyware se připojuje k SOCKS5 obcházejíc VpnService. Private spaces izolují VpnService, ale ne loopback rozhraní, což zachovává přístup k proxy.

Google AdInline article slot

Metodika regulátora vyjmenovává typické porty: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Technika již byla použita v produkci.

Ověřené klienty

Ověřeno 10. března 2026, oznámení rozeslána vývojářům. Do 7. dubna 2026 opravy nejsou:

  • Happ: kriticky zranitelný, vypisuje konfigurace přes xray API bez autentizace (HandlerService). Možná dešifrace trafiky při kombinaci s další zranitelností xray.
  • v2RayTun: zranitelný.
  • V2BOX: zranitelný.
  • v2rayNG: zranitelný.
  • Hiddify: zranitelný.
  • Exclave: zranitelný.
  • Npv Tunnel: zranitelný.
  • Neko Box: zranitelný.

Clash a sing-box v typických konfiguracích také ohroženy. Oprava vyžaduje autentizaci SOCKS5, ale UDP zůstává bez ochrany.

Google AdInline article slot

Detaily zranitelnosti Happ

Happ aktivuje xray API bez autentizace s HandlerService, vystavuje konfigurace: klíče, vstupní IP, SNI. Reverzní inženýrství neodhalilo ospravedlnění – restart xray při změně konfigurace. Vývojáři odkazovali na statistiku (LogService stačilo), ale odmítli opravit. Aktualizace nemožné kvůli odstranění z AppStore.

Doporučení: blokování na serverech podle UserAgent Happ/*. Jeden zranitelný klient prozradí celý server cenzorovi.

Opatření ochrany

Zcela bezpeční klienti neexistují. Situace na iOS zhoršena odstraněním aplikací z obchodu.

Google AdInline article slot
  • Rozdělte vstupní a výstupní IP. Alternativa: obalení výstupního trafiky v CloudFlare WARP.
  • Oddělené směrování: geoip:ru -> direct, ostatní -> proxy.
  • Blokování geoip:ru na serveru, aby se zabránilo analýze vzorů trafiky ze špionážních aplikací (Yandex, WB, Ozon).

Příklad pro Windows: v2rayN s presetem 'Vše kromě Ruska'.

Co je důležité

  • Zranitelnost umožňuje spyware skenovat localhost a extrahovat IP proxy, obcházejíc VpnService a private spaces.
  • Happ navíc vypisuje konfigurace přes nezabezpečené xray API, riskuje dešifraci trafiky.
  • Žádný klient není opraven; oprava – autentizace SOCKS5 + odmítnutí UDP.
  • Ochrana: rozdělení IP, geoip-směrování, blokování Happ a RU-trafficu na serveru.
  • Technika byla dříve využívána, metodika regulátora ukazuje na znalost problému.

— Editorial Team

Advertisement 728x90

Číst dál