Пользователь с ником runetfreedom обнаружил в популярных VLESS-клиентах для мобильных устройств критическую уязвимость.
Она может раскрывать внешний IP-адрес VPN-сервера и упростить его блокировку. Проблема затрагивает практически все известные клиенты на базе xray и sing-box.
Уязвимость связана с локальным SOCKS5-прокси, который запускается без авторизации. Это позволяет вредоносному приложению на смартфоне подключаться к нему напрямую, обходя системный VPN-сервис Android, и определять IP-адрес используемого прокси-сервера.
Автор утверждает, что таким образом можно обойти per-app split tunneling и даже изолированные пространства типа Knox, Shelter и Island. При этом приватные окружения не защищают от сканирования localhost-портов, из-за чего пользователь может ошибочно считать подключение безопасным.
Среди проверенных приложений уязвимыми названы:
- Happ
- v2RayTun
- V2BOX
- v2rayNG
- Hiddify
- Exclave
- Npv Tunnel
- Neko Box
Также проблема затрагивает распространенные клиенты Clash и Sing-box в типовых конфигурациях.
При этом в Happ обнаружена особенно серьезная проблема: приложение позволяет получить доступ к пользовательским конфигам, включая ключи и IP-адрес сервера. В теории это может поставить под угрозу весь трафик пользователя.
Автор уведомил разработчиков еще 10 марта, однако до сих пор ни одно из приложений не выпустило исправление. В качестве временной меры рекомендуется использовать раздельную маршрутизацию трафика и по возможности разделять входные и выходные IP-адреса VPN-сервера. [Habr]
1 комментарий