Kritischer VLESS-Client-Fehler: Umgehung von Split Tunneling und IP-Leaks
Alle gängigen mobilen VLESS-Clients auf Basis von xray/sing-box betreiben einen unauthentifizierten lokalen SOCKS5-Proxy. Dadurch können Spyware-Apps die per-App-Split-Tunneling-Funktion und private Bereiche (wie Knox, Shelter oder Island) umgehen, indem sie direkt localhost-Ports scannen und die Ausgangs-IP des Proxys abfragen.
Der Standard-Traffic-Flow sieht so aus:
VpnService -> tun2socks -> xray socks5 -> VPN-Server -> freedom
Spyware verbindet sich direkt mit SOCKS5 und umgeht VpnService. Private Bereiche isolieren VpnService, aber nicht die Loopback-Schnittstelle, wodurch der Proxy freiliegt.
Regulierungsbehörden listen gängige Ports auf: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Diese Technik wird bereits in der Praxis eingesetzt.
Getestete Clients
Getestet am 10. März 2026; Entwickler benachrichtigt. Stand 7. April 2026 keine Patches:
- Happ: Kritisch anfällig, speichert Konfigs über unauthentifizierte xray-API (HandlerService). Traffic-Entschlüsselung möglich in Kombination mit anderem xray-Fehler.
- v2RayTun: Anfällig.
- V2BOX: Anfällig.
- v2rayNG: Anfällig.
- Hiddify: Anfällig.
- Exclave: Anfällig.
- Npv Tunnel: Anfällig.
- Neko Box: Anfällig.
Clash und sing-box in Standardkonfigurationen sind ebenfalls gefährdet. Die Lösung erfordert SOCKS5-Authentifizierung, UDP bleibt jedoch ungeschützt.
Happ-Schwachstelle im Detail
Happ aktiviert unauthentifizierte xray-API über HandlerService und legt Konfigs offen: Schlüssel, Inbound-IP, SNI. Reverse Engineering ergab keine Begründung – xray startet bei Konfigänderungen neu. Entwickler beriefen sich auf Statistikbedarf (LogService würde reichen), lehnten Fixes aber ab. Updates nach App-Store-Entfernung blockiert.
Empfehlung: Serverseitige Sperre via UserAgent Happ/*. Ein kompromittierter Happ-Client kann deinen gesamten Server an Zensoren verraten.
Schutzmaßnahmen
Kein Client ist vollständig sicher. iOS-Probleme verschärft durch App-Store-Entfernungen.
- Inbound- und Outbound-IPs trennen. Alternative: Outbound-Traffic in CloudFlare WARP wrappen.
- Selektives Routing:
geoip:ru-> direkt, alles andere -> Proxy. - Serverseitige Sperre von
geoip:ru, um Traffic-Musteranalysen durch Spy-Apps (Yandex, Wildberries, Ozon) zu vermeiden.
Windows-Beispiel: v2rayN mit Preset „Alles außer Russland“.
Wichtige Erkenntnisse
- Die Schwachstelle erlaubt Spyware, localhost zu scannen, Proxy-IPs abzugreifen und VpnService sowie private Bereiche zu umgehen.
- Happ leaket zudem Konfigs über unsichere xray-API, was Traffic-Entschlüsselung riskiert.
- Keine Clients gepatcht; Fix braucht SOCKS5-Auth + UDP-Deaktivierung.
- Schützen durch IP-Trennung, geoip-Routing, Happ/RU-Sperren auf Servern.
- Technik bereits ausgenutzt; Behörden kennen sie.
— Editorial Team
Noch keine Kommentare.