Zurück zur Startseite

VLESS-Schwachstelle: Umgehung des Split-Tunneling in Clients

Der Artikel enthüllt eine kritische Schwachstelle in VLESS-Clients basierend auf xray/sing-box, die Spyware erlaubt, Split-Tunneling und private Bereiche zu umgehen, um IP zu extrahieren. Beliebte Clients getestet, Happ ist besonders gefährlich wegen Konfigurationsdump. Empfohlene Maßnahmen: IP-Trennung, geoip-Routing.

VLESS-Clients sind anfällig: IP-Leck über SOCKS5 ohne Authentifizierung
Advertisement 728x90

Kritischer VLESS-Client-Fehler: Umgehung von Split Tunneling und IP-Leaks

Alle gängigen mobilen VLESS-Clients auf Basis von xray/sing-box betreiben einen unauthentifizierten lokalen SOCKS5-Proxy. Dadurch können Spyware-Apps die per-App-Split-Tunneling-Funktion und private Bereiche (wie Knox, Shelter oder Island) umgehen, indem sie direkt localhost-Ports scannen und die Ausgangs-IP des Proxys abfragen.

Der Standard-Traffic-Flow sieht so aus:

VpnService -> tun2socks -> xray socks5 -> VPN-Server -> freedom

Spyware verbindet sich direkt mit SOCKS5 und umgeht VpnService. Private Bereiche isolieren VpnService, aber nicht die Loopback-Schnittstelle, wodurch der Proxy freiliegt.

Google AdInline article slot

Regulierungsbehörden listen gängige Ports auf: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Diese Technik wird bereits in der Praxis eingesetzt.

Getestete Clients

Getestet am 10. März 2026; Entwickler benachrichtigt. Stand 7. April 2026 keine Patches:

  • Happ: Kritisch anfällig, speichert Konfigs über unauthentifizierte xray-API (HandlerService). Traffic-Entschlüsselung möglich in Kombination mit anderem xray-Fehler.
  • v2RayTun: Anfällig.
  • V2BOX: Anfällig.
  • v2rayNG: Anfällig.
  • Hiddify: Anfällig.
  • Exclave: Anfällig.
  • Npv Tunnel: Anfällig.
  • Neko Box: Anfällig.

Clash und sing-box in Standardkonfigurationen sind ebenfalls gefährdet. Die Lösung erfordert SOCKS5-Authentifizierung, UDP bleibt jedoch ungeschützt.

Google AdInline article slot

Happ-Schwachstelle im Detail

Happ aktiviert unauthentifizierte xray-API über HandlerService und legt Konfigs offen: Schlüssel, Inbound-IP, SNI. Reverse Engineering ergab keine Begründung – xray startet bei Konfigänderungen neu. Entwickler beriefen sich auf Statistikbedarf (LogService würde reichen), lehnten Fixes aber ab. Updates nach App-Store-Entfernung blockiert.

Empfehlung: Serverseitige Sperre via UserAgent Happ/*. Ein kompromittierter Happ-Client kann deinen gesamten Server an Zensoren verraten.

Schutzmaßnahmen

Kein Client ist vollständig sicher. iOS-Probleme verschärft durch App-Store-Entfernungen.

Google AdInline article slot
  • Inbound- und Outbound-IPs trennen. Alternative: Outbound-Traffic in CloudFlare WARP wrappen.
  • Selektives Routing: geoip:ru -> direkt, alles andere -> Proxy.
  • Serverseitige Sperre von geoip:ru, um Traffic-Musteranalysen durch Spy-Apps (Yandex, Wildberries, Ozon) zu vermeiden.

Windows-Beispiel: v2rayN mit Preset „Alles außer Russland“.

Wichtige Erkenntnisse

  • Die Schwachstelle erlaubt Spyware, localhost zu scannen, Proxy-IPs abzugreifen und VpnService sowie private Bereiche zu umgehen.
  • Happ leaket zudem Konfigs über unsichere xray-API, was Traffic-Entschlüsselung riskiert.
  • Keine Clients gepatcht; Fix braucht SOCKS5-Auth + UDP-Deaktivierung.
  • Schützen durch IP-Trennung, geoip-Routing, Happ/RU-Sperren auf Servern.
  • Technik bereits ausgenutzt; Behörden kennen sie.

— Editorial Team

Advertisement 728x90

Weiterlesen