Powrót do strony głównej

Luka VLESS: obejście split tunneling w klientach

Artykuł ujawnia krytyczną lukę w klientach VLESS opartych na xray/sing-box, pozwalającą spyware omijać split tunneling i private spaces w celu wyciągnięcia IP. Sprawdzono popularne klienty, Happ jest szczególnie niebezpieczny z powodu dumpu konfiguracji. Zalecane środki: rozdzielność IP, geoip-rutowanie.

Klienci VLESS są podatni: wyciek IP przez SOCKS5 bez auth
Advertisement 728x90

Krytyczna luka w klientach VLESS: ominięcie split tunneling i wyciek IP

Wszystkie popularne mobilne klienty VLESS oparte na xray/sing-box uruchamiają lokalny proxy SOCKS5 bez autoryzacji. Umożliwia to spyware omijanie per-app split tunneling i private spaces (Knox, Shelter, Island), bezpośrednio skanując porty localhost i wyciągając wyjściowy IP proxy.

Schemat ruchu standardowy:

VpnService -> tun2socks -> xray socks5 -> VPN server -> freedom

Spyware łączy się z SOCKS5, omijając VpnService. Private spaces izolują VpnService, ale nie interfejs loopback, co utrzymuje dostęp do proxy.

Google AdInline article slot

Podręcznik regulatora wymienia typowe porty: SOCKS (1080, 9000, 5555, 16000-16100), HTTP (80, 443, 3128). Technika już była stosowana w produkcji.

Sprawdzone klienty

Sprawdzone 10 marca 2026 r., powiadomienia wysłane do deweloperów. Do 7 kwietnia 2026 r. brak poprawek:

  • Happ: krytycznie podatny, zrzuca konfigi przez xray API bez autoryzacji (HandlerService). Możliwe odszyfrowanie ruchu przy kombinacji z inną luką xray.
  • v2RayTun: podatny.
  • V2BOX: podatny.
  • v2rayNG: podatny.
  • Hiddify: podatny.
  • Exclave: podatny.
  • Npv Tunnel: podatny.
  • Neko Box: podatny.

Clash i sing-box w typowych konfiguracjach również podatne. Poprawka wymaga autoryzacji SOCKS5, ale UDP pozostaje bez ochrony.

Google AdInline article slot

Szczegóły luki Happ

Happ aktywuje xray API bez autoryzacji z HandlerService, eksponując konfigi: klucze, wejściowy IP, SNI. Reverse engineering nie wykazał uzasadnienia — restart xray przy zmianie konfigu. Deweloperzy odwoływali się do statystyk (LogService wystarczyłoby), ale odmawiali naprawy. Aktualizacje niemożliwe z powodu usunięcia z AppStore.

Rekomendacja: blokada na serwerach według UserAgent Happ/*. Jeden podatny klient wycieka cały serwer do cenzora.

Środki ochrony

W pełni bezpiecznych klientów nie ma. Sytuacja na iOS pogorszona usunięciem aplikacji ze sklepu.

Google AdInline article slot
  • Podziel wejściowy i wyjściowy IP. Alternatywa: opakowanie wyjściowego ruchu w CloudFlare WARP.
  • Rozdzielna rutowanie: geoip:ru -> direct, reszta -> proxy.
  • Blokada geoip:ru na serwerze, aby uniknąć analizy wzorców ruchu z szpiegowskich aplikacji (Yandex, WB, Ozon).

Przykład dla Windows: v2rayN z presetem „Wszystko oprócz Rosji”.

Co jest ważne

  • Luka pozwala spyware skanować localhost i wyciągać IP proxy, omijając VpnService i private spaces.
  • Happ dodatkowo zrzuca konfigi przez niezabezpieczony xray API, ryzykując odszyfrowanie ruchu.
  • Żaden klient nie został naprawiony; poprawka — autoryzacja SOCKS5 + rezygnacja z UDP.
  • Ochrona: podział IP, geoip-rutowanie, blokada Happ i RU-ruchu na serwerze.
  • Technika była wcześniej eksploatowana, podręcznik regulatora wskazuje na znajomość problemu.

— Editorial Team

Advertisement 728x90

Czytaj dalej