Исследователь runetfreedom обнаружил уязвимость в популярных VPN-клиентах на базе Xray и sing-box — это те самые движки, на которых работают Hiddify, v2rayNG, NekoBox и другие приложения.
Когда VPN запускается, он поднимает локальный SOCKS5-прокси на устройстве — через адрес 127.0.0.1 — и делает это без какой-либо авторизации. В итоге любое приложение на смартфоне может подключиться к этому прокси и узнать, через какой IP вы выходите в интернет. То есть фактически раскрыть ваш VPN-сервер.
В итоге этот адрес можно передать куда угодно — от аналитических сервисов до систем блокировки. И тут неприятный нюанс — не спасают даже «песочницы» вроде Knox или Shelter. Локальная сеть внутри устройства не изолируется, поэтому доступ к прокси остаётся.
Вот список клиентов, которые проверил runetfreedom и уведомил разработчиков:
- Happ — уязвим и особо опасен, не рекомендуется использовать ни при каких обстоятельствах;
- v2RayTun — уязвим;
- V2BOX — уязвим;
- v2rayNG — уязвим;
- Hiddify — уязвим;
- Exclave — уязвим;
- Npv Tunnel — уязвим;
- Neko Box — уязвим.
Самая тревожная ситуация оказалась в приложении Happ. Там открыт доступ к API Xray, через который можно не только узнать IP, но и полностью выгрузить конфигурацию — вместе с ключами доступа.
Часть разработчиков пообещала фиксы, но многие проблему просто проигнорировали. В Happ сначала отказались решать проблему, но позже все же согласились исправить ее под давлением аудитории.
Join the conversation.