Retour à l'accueil

Vulnérabilité VLESS : contournement du split tunneling dans les clients

L'article révèle une vulnérabilité critique dans les clients VLESS basés sur xray/sing-box, permettant aux spywares de contourner le split tunneling et les espaces privés pour extraire l'IP. Clients populaires testés, Happ est particulièrement dangereux en raison de l'extraction de config. Mesures recommandées : séparation IP, routage geoip.

Les clients VLESS sont vulnérables : fuite IP via SOCKS5 sans authentification
Advertisement 728x90

Faille critique des clients VLESS : contournement du split tunneling et fuites IP

Tous les clients mobiles VLESS populaires basés sur xray/sing-box exécutent un proxy SOCKS5 local non authentifié. Cela permet aux spywares de contourner le split tunneling par application et les espaces privés (comme Knox, Shelter ou Island) en scannant directement les ports localhost et en récupérant l'IP de sortie du proxy.

Le flux de trafic standard est :

VpnService -> tun2socks -> xray socks5 -> serveur VPN -> freedom

Les spywares se connectent au SOCKS5 en sautant VpnService. Les espaces privés isolent VpnService mais pas l'interface loopback, laissant le proxy exposé.

Google AdInline article slot

Les manuels des régulateurs listent les ports courants : SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Cette technique a déjà été utilisée dans la nature.

Clients testés

Testés le 10 mars 2026 ; développeurs informés. Au 7 avril 2026, aucune correction :

  • Happ : Vulnérable de manière critique, déverse les configs via l'API xray non authentifiée (HandlerService). Décryptage du trafic possible combiné à une autre faille xray.
  • v2RayTun : Vulnérable.
  • V2BOX : Vulnérable.
  • v2rayNG : Vulnérable.
  • Hiddify : Vulnérable.
  • Exclave : Vulnérable.
  • Npv Tunnel : Vulnérable.
  • Neko Box : Vulnérable.

Clash et sing-box en configurations standard sont aussi à risque. La correction nécessite une authentification SOCKS5, mais UDP reste non protégé.

Google AdInline article slot

Détails de la vulnérabilité Happ

Happ active l'API xray non authentifiée via HandlerService, exposant les configs : clés, IP inbound, SNI. L'ingénierie inverse n'a trouvé aucune justification — xray redémarre de toute façon sur changements de config. Les devs ont invoqué des besoins stats (LogService suffirait) mais refusé les correctifs. Mises à jour bloquées après retrait de l'App Store.

Recommandation : Blocages côté serveur via UserAgent Happ/*. Un client Happ compromis peut exposer tout votre serveur aux censeurs.

Mesures de protection

Aucun client n'est totalement sécurisé. Les problèmes iOS aggravés par les retraits de l'App Store.

Google AdInline article slot
  • Séparez IP inbound et outbound. Alternative : Enveloppez le trafic outbound dans CloudFlare WARP.
  • Routage sélectif : geoip:ru -> direct, tout le reste -> proxy.
  • Blocage côté serveur de geoip:ru pour éviter l'analyse des patterns de trafic par les apps espions (Yandex, Wildberries, Ozon).

Exemple Windows : v2rayN avec préréglage « Tout sauf la Russie ».

Points clés

  • La faille permet aux spywares de scanner localhost, de choper les IP proxy et de contourner VpnService + espaces privés.
  • Happ fuit aussi les configs via API xray non sécurisée, risquant le décryptage du trafic.
  • Aucun client corrigé ; correction nécessite auth SOCKS5 + suppression UDP.
  • Protégez avec split IP, routage geoip, blocs Happ/RU sur serveurs.
  • La technique a été exploitée auparavant ; les régulateurs la connaissent.

— Editorial Team

Advertisement 728x90

Lire ensuite