Обнаружена критическая уязвимость в VPN-клиентах на базе Xray и sing-box

Исследователь под псевдонимом «runetfreedom» выявил серьезную архитектурную уязвимость в ряде популярных VPN-клиентов, использующих ядра Xray и sing-box. Данная проблема позволяет любому установленному на мобильном устройстве приложению получить доступ к реальному IP-адресу прокси-сервера пользователя, что потенциально создает условия для его последующей блокировки. Уязвимость затрагивает такие приложения, как Hiddify, v2rayNG, NekoBox, Happ и другие аналогичные сервисы. Их функционирование предусматривает создание на устройстве локального SOCKS5-прокси без запроса авторизации. Это дает возможность стороннему программному обеспечению, включая мобильные банковские приложения или скрытые шпионские модули, отправить запрос к прокси-серверу через локальный адрес 127.0.0.1 и таким образом узнать реальный внешний IP-адрес. Особенность loopback-интерфейса заключается в отсутствии изоляции системными механизмами безопасности, такими как Knox или Shelter, что исключает защиту от утечки данных. Наиболее критическая ситуация обнаружена в клиенте Happ, который оставляет открытым доступ к Xray API. Это предоставляет возможность не только определить адрес сервера, но и полностью извлечь конфигурационные файлы, содержащие все ключи доступа. По информации автора исследования, большинство разработчиков проигнорировали сообщения об уязвимости, а представители сервиса Happ отказались предпринимать корректирующие меры. При этом отдельные разработчики выразили готовность устранить проблему, однако их названия не уточняются. Ранее Министерство цифрового развития, связи и массовых коммуникаций РФ обращалось к крупным интернет-площадкам с просьбой содействовать блокировке VPN-сервисов. Более того, существует требование, согласно которому российские сервисы обязаны передавать регулятору сведения о вновь выявленных VPN.