# VLESS 클라이언트 치명적 취약점: 분할 터널링 우회와 IP 유출
xray/sing-box 기반의 모든 인기 모바일 VLESS 클라이언트는 인증되지 않은 로컬 SOCKS5 프록시를 실행합니다. 이로 인해 스파이웨어가 앱별 분할 터널링과 프라이빗 공간(Knox, Shelter, Island 등)을 우회해 localhost 포트를 직접 스캔하고 프록시의 출구 IP를 빼낼 수 있습니다.
표준 트래픽 흐름은 다음과 같습니다:
VpnService -> tun2socks -> xray socks5 -> VPN 서버 -> freedom
스파이웨어는 VpnService를 건너뛰고 SOCKS5에 직접 연결합니다. 프라이빗 공간은 VpnService를 격리하지만 루프백 인터페이스는 격리하지 않아 프록시가 노출됩니다.
규제 당국의 매뉴얼에는 흔한 포트가 나열되어 있습니다: SOCKS(1080, 9000, 5555, 16000-16100), HTTP(80, 443, 3128). 이 기술은 이미 실제로 사용된 바 있습니다.
테스트된 클라이언트
2026년 3월 10일 테스트; 개발자에게 통보. 2026년 4월 7일 기준 패치 없음:
- Happ: 치명적 취약, 인증되지 않은 xray API(HandlerService)를 통해 설정 파일 덤프. 다른 xray 취약점과 결합 시 트래픽 복호화 가능.
- v2RayTun: 취약.
- V2BOX: 취약.
- v2rayNG: 취약.
- Hiddify: 취약.
- Exclave: 취약.
- Npv Tunnel: 취약.
- Neko Box: 취약.
표준 설정의 Clash와 sing-box도 위험합니다. 수정에는 SOCKS5 인증이 필요하지만 UDP는 여전히 보호되지 않습니다.
Happ 취약점 상세
Happ은 HandlerService를 통해 인증되지 않은 xray API를 활성화해 설정 파일(키, 인바운드 IP, SNI)을 노출합니다. 리버스 엔지니어링 결과 정당화할 이유 없음—설정 변경 시 xray가 재시작되기 때문. 개발자는 통계 수집(LogService로 충분)을 이유로 들었으나 수정 거부. 앱스토어 제거 후 업데이트 차단.
권장: 서버 측 UserAgent Happ/* 차단. 하나의 감염된 Happ 클라이언트가 전체 서버를 검열 당국에 유출할 수 있습니다.
보호 조치
완벽히 안전한 클라이언트는 없습니다. iOS는 앱스토어 제거로 상황 악화.
- 인바운드와 아웃바운드 IP 분리. 대안: 아웃바운드 트래픽을 CloudFlare WARP로 래핑.
- 선택적 라우팅:
geoip:ru-> 직접 연결, 나머지 -> 프록시. - 스파이 앱(Yandex, Wildberries, Ozon)의 트래픽 패턴 분석 회피를 위한 서버 측
geoip:ru차단.
Windows 예: v2rayN의 "러시아 제외 모든 것" 프리셋.
주요 요약
- 이 취약점으로 스파이웨어가 localhost 스캔, 프록시 IP 획득, VpnService와 프라이빗 공간 우회.
- Happ은 보안되지 않은 xray API로 설정 유출, 트래픽 복호화 위험.
- 클라이언트 패치 없음; SOCKS5 인증 + UDP 중단 필요.
- IP 분리, geoip 라우팅, 서버 측 Happ/러시아 차단으로 보호.
- 이 기술 이미 악용 사례 있음; 규제 당국 인지.
— Editorial Team
아직 댓글이 없습니다.