Volver al inicio

Vulnerabilidad VLESS: evadiendo el túnel dividido en clientes

El artículo revela una vulnerabilidad crítica en clientes VLESS basados en xray/sing-box, que permite al spyware evadir el túnel dividido y espacios privados para extraer IP. Probados clientes populares, Happ es especialmente peligroso debido al volcado de config. Medidas recomendadas: separación de IP, enrutamiento geoip.

Los clientes VLESS son vulnerables: filtración de IP vía SOCKS5 sin autenticación
Advertisement 728x90

# Falla Crítica en Clientes VLESS: Evasión de Túnel Dividido y Fugas de IP

Todos los clientes móviles VLESS populares basados en xray/sing-box ejecutan un proxy SOCKS5 local sin autenticación. Esto permite que el spyware evada el túnel dividido por app y los espacios privados (como Knox, Shelter o Island) al escanear directamente los puertos de localhost y extraer la IP de salida del proxy.

El flujo estándar de tráfico es:

VpnService -> tun2socks -> xray socks5 -> Servidor VPN -> freedom

El spyware se conecta a SOCKS5 saltándose VpnService. Los espacios privados aíslan VpnService, pero no la interfaz loopback, dejando el proxy expuesto.

Google AdInline article slot

Los manuales de los reguladores listan puertos comunes: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Esta técnica ya se ha usado en la práctica.

Clientes Probados

Probados el 10 de marzo de 2026; desarrolladores notificados. Al 7 de abril de 2026, sin parches:

  • Happ: Vulnerable de forma crítica, vuelca configs vía API xray sin autenticar (HandlerService). Posible descifrado de tráfico combinado con otra falla de xray.
  • v2RayTun: Vulnerable.
  • V2BOX: Vulnerable.
  • v2rayNG: Vulnerable.
  • Hiddify: Vulnerable.
  • Exclave: Vulnerable.
  • Npv Tunnel: Vulnerable.
  • Neko Box: Vulnerable.

Clash y sing-box en configuraciones estándar también están en riesgo. La solución requiere autenticación SOCKS5, pero UDP queda desprotegido.

Google AdInline article slot

Detalles de la Vulnerabilidad en Happ

Happ habilita API xray sin autenticar vía HandlerService, exponiendo configs: claves, IP de entrada, SNI. La ingeniería inversa no encontró justificación—xray se reinicia con cambios de config de todos modos. Los devs citaron necesidades de estadísticas (LogService bastaría) pero rechazaron parches. Actualizaciones bloqueadas tras remoción de App Store.

Recomendación: Bloqueos del lado del servidor vía UserAgent Happ/*. Un cliente Happ comprometido puede filtrar todo tu servidor a los censores.

Pasos de Protección

Ningún cliente es 100% seguro. Problemas en iOS agravados por remociones de tiendas de apps.

Google AdInline article slot
  • Separa IPs de entrada y salida. Alternativa: Envuelve tráfico de salida en CloudFlare WARP.
  • Enrutamiento selectivo: geoip:ru -> directo, resto -> proxy.
  • Bloqueo del lado del servidor de geoip:ru para evitar análisis de patrones de tráfico por apps espía (Yandex, Wildberries, Ozon).

Ejemplo en Windows: v2rayN con preajuste "Todo menos Rusia".

Lecciones Clave

  • La falla permite que el spyware escanee localhost, capture IPs de proxy y evada VpnService y espacios privados.
  • Happ también filtra configs vía API xray insegura, arriesgando descifrado de tráfico.
  • Ningún cliente parchado; solución necesita auth SOCKS5 + eliminar UDP.
  • Protégete con separación de IP, enrutamiento geoip, bloqueos Happ/RU en servidores.
  • La técnica ya ha sido explotada; los reguladores la conocen.

— Editorial Team

Advertisement 728x90

Leer después