Faille critique des clients VLESS : contournement du split tunneling et fuites IP
Tous les clients mobiles VLESS populaires basés sur xray/sing-box exécutent un proxy SOCKS5 local non authentifié. Cela permet aux spywares de contourner le split tunneling par application et les espaces privés (comme Knox, Shelter ou Island) en scannant directement les ports localhost et en récupérant l'IP de sortie du proxy.
Le flux de trafic standard est :
VpnService -> tun2socks -> xray socks5 -> serveur VPN -> freedom
Les spywares se connectent au SOCKS5 en sautant VpnService. Les espaces privés isolent VpnService mais pas l'interface loopback, laissant le proxy exposé.
Les manuels des régulateurs listent les ports courants : SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Cette technique a déjà été utilisée dans la nature.
Clients testés
Testés le 10 mars 2026 ; développeurs informés. Au 7 avril 2026, aucune correction :
- Happ : Vulnérable de manière critique, déverse les configs via l'API xray non authentifiée (HandlerService). Décryptage du trafic possible combiné à une autre faille xray.
- v2RayTun : Vulnérable.
- V2BOX : Vulnérable.
- v2rayNG : Vulnérable.
- Hiddify : Vulnérable.
- Exclave : Vulnérable.
- Npv Tunnel : Vulnérable.
- Neko Box : Vulnérable.
Clash et sing-box en configurations standard sont aussi à risque. La correction nécessite une authentification SOCKS5, mais UDP reste non protégé.
Détails de la vulnérabilité Happ
Happ active l'API xray non authentifiée via HandlerService, exposant les configs : clés, IP inbound, SNI. L'ingénierie inverse n'a trouvé aucune justification — xray redémarre de toute façon sur changements de config. Les devs ont invoqué des besoins stats (LogService suffirait) mais refusé les correctifs. Mises à jour bloquées après retrait de l'App Store.
Recommandation : Blocages côté serveur via UserAgent Happ/*. Un client Happ compromis peut exposer tout votre serveur aux censeurs.
Mesures de protection
Aucun client n'est totalement sécurisé. Les problèmes iOS aggravés par les retraits de l'App Store.
- Séparez IP inbound et outbound. Alternative : Enveloppez le trafic outbound dans CloudFlare WARP.
- Routage sélectif :
geoip:ru-> direct, tout le reste -> proxy. - Blocage côté serveur de
geoip:rupour éviter l'analyse des patterns de trafic par les apps espions (Yandex, Wildberries, Ozon).
Exemple Windows : v2rayN avec préréglage « Tout sauf la Russie ».
Points clés
- La faille permet aux spywares de scanner localhost, de choper les IP proxy et de contourner VpnService + espaces privés.
- Happ fuit aussi les configs via API xray non sécurisée, risquant le décryptage du trafic.
- Aucun client corrigé ; correction nécessite auth SOCKS5 + suppression UDP.
- Protégez avec split IP, routage geoip, blocs Happ/RU sur serveurs.
- La technique a été exploitée auparavant ; les régulateurs la connaissent.
— Editorial Team
Aucun commentaire pour le moment.