# Falla Crítica en Clientes VLESS: Evasión de Túnel Dividido y Fugas de IP
Todos los clientes móviles VLESS populares basados en xray/sing-box ejecutan un proxy SOCKS5 local sin autenticación. Esto permite que el spyware evada el túnel dividido por app y los espacios privados (como Knox, Shelter o Island) al escanear directamente los puertos de localhost y extraer la IP de salida del proxy.
El flujo estándar de tráfico es:
VpnService -> tun2socks -> xray socks5 -> Servidor VPN -> freedom
El spyware se conecta a SOCKS5 saltándose VpnService. Los espacios privados aíslan VpnService, pero no la interfaz loopback, dejando el proxy expuesto.
Los manuales de los reguladores listan puertos comunes: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Esta técnica ya se ha usado en la práctica.
Clientes Probados
Probados el 10 de marzo de 2026; desarrolladores notificados. Al 7 de abril de 2026, sin parches:
- Happ: Vulnerable de forma crítica, vuelca configs vía API xray sin autenticar (HandlerService). Posible descifrado de tráfico combinado con otra falla de xray.
- v2RayTun: Vulnerable.
- V2BOX: Vulnerable.
- v2rayNG: Vulnerable.
- Hiddify: Vulnerable.
- Exclave: Vulnerable.
- Npv Tunnel: Vulnerable.
- Neko Box: Vulnerable.
Clash y sing-box en configuraciones estándar también están en riesgo. La solución requiere autenticación SOCKS5, pero UDP queda desprotegido.
Detalles de la Vulnerabilidad en Happ
Happ habilita API xray sin autenticar vía HandlerService, exponiendo configs: claves, IP de entrada, SNI. La ingeniería inversa no encontró justificación—xray se reinicia con cambios de config de todos modos. Los devs citaron necesidades de estadísticas (LogService bastaría) pero rechazaron parches. Actualizaciones bloqueadas tras remoción de App Store.
Recomendación: Bloqueos del lado del servidor vía UserAgent Happ/*. Un cliente Happ comprometido puede filtrar todo tu servidor a los censores.
Pasos de Protección
Ningún cliente es 100% seguro. Problemas en iOS agravados por remociones de tiendas de apps.
- Separa IPs de entrada y salida. Alternativa: Envuelve tráfico de salida en CloudFlare WARP.
- Enrutamiento selectivo:
geoip:ru-> directo, resto -> proxy. - Bloqueo del lado del servidor de
geoip:rupara evitar análisis de patrones de tráfico por apps espía (Yandex, Wildberries, Ozon).
Ejemplo en Windows: v2rayN con preajuste "Todo menos Rusia".
Lecciones Clave
- La falla permite que el spyware escanee localhost, capture IPs de proxy y evada VpnService y espacios privados.
- Happ también filtra configs vía API xray insegura, arriesgando descifrado de tráfico.
- Ningún cliente parchado; solución necesita auth SOCKS5 + eliminar UDP.
- Protégete con separación de IP, enrutamiento geoip, bloqueos Happ/RU en servidores.
- La técnica ya ha sido explotada; los reguladores la conocen.
— Editorial Team
Aún no hay comentarios.