Добавить в корзинуПозвонить
Найти в Дзене
Сеть 2026: Апрель
886 подписчиков

Ваш VPN решето: как популярные приложения на Android сливают ваш реальный IP и ключи доступа

5
2 мин
Вы думаете, что вы в тени. Вы включаете «туннель», видите зеленый значок замка и чувствуете себя хакером из кино. Невидимка. Призрак. А на самом деле вы стоите посреди площади с табличкой «Я здесь» на груди. И любой прохожий может не только увидеть вас, но и забрать ваши ключи от квартиры. Страшно? Должно быть. В популярных VPN-клиентах для Android (Happ, v2rayNG, NekoBox, Hiddify, V2BOX и другие) найдена критическая уязвимость. Не какая-то теоретическая дыра, в которую нужно долго и мучительно лезть. А архитектурная ошибка. Фундаментальный просчет. Суть проста до безобразия. Локальный SOCKS5-прокси, который создает приложение для перенаправления трафика, оказывается доступен любому другому приложению на вашем телефоне. Без спроса. Без пароля. Без уведомления. Что это значит на практике? Это не баг. Это халатность. Разработчики этих клиентов (многие из которых — open-source энтузиасты) сосредоточились на функционале: «чтобы работало», «чтобы быстро», «чтобы обходило блокировки». Но они

Вы думаете, что вы в тени. Вы включаете «туннель», видите зеленый значок замка и чувствуете себя хакером из кино. Невидимка. Призрак.

А на самом деле вы стоите посреди площади с табличкой «Я здесь» на груди. И любой прохожий может не только увидеть вас, но и забрать ваши ключи от квартиры.

Страшно? Должно быть.

В популярных VPN-клиентах для Android (Happ, v2rayNG, NekoBox, Hiddify, V2BOX и другие) найдена критическая уязвимость. Не какая-то теоретическая дыра, в которую нужно долго и мучительно лезть. А архитектурная ошибка. Фундаментальный просчет.

Суть проста до безобразия. Локальный SOCKS5-прокси, который создает приложение для перенаправления трафика, оказывается доступен любому другому приложению на вашем телефоне. Без спроса. Без пароля. Без уведомления.

Что это значит на практике?

  1. Деанонимизация. Любое вредоносное ПО, любой рекламный трекер или даже просто «левое» приложение с доступом к сети может спросить у прокси: «Эй, а какой у тебя реальный IP на выходе?». И прокси, как верный пёс, ответит: «Вот он, хозяин!». Ваша маскировка слетает мгновенно.
  2. Кража конфигураций. В случае с Happ всё ещё веселее. Можно вытащить не только IP, но и сами конфиги. Ключи доступа. Серверы. Всё, что нужно, чтобы подключиться к вашему платному (или бесплатному) сервису и использовать его ресурсы. Или, что хуже, передать эти данные туда, куда следует, для последующей блокировки.

Это не баг. Это халатность.

Разработчики этих клиентов (многие из которых — open-source энтузиасты) сосредоточились на функционале: «чтобы работало», «чтобы быстро», «чтобы обходило блокировки». Но они забыли о базовой гигиене безопасности: изоляции. На Android, в отличие от iOS, приложения могут общаться друг с другом гораздо теснее, если их правильно (или неправильно) настроить. Здесь настройка была «неправильной» по умолчанию.

Кто этим воспользуется?

Роскомнадзор? Возможно. Им теперь не нужно гадать, какие IP блокировать. Они могут собирать их напрямую с устройств пользователей, если те запустят «шпионское» приложение (которое может маскироваться под фонарик, игру или обновлятор системы).

Мошенники? Обязательно. Украденные конфиги продадут на черном рынке. Ваши деньги, потраченные на подписку, будут работать на кого-то другого.

Что делать прямо сейчас?

  1. Обновитесь. Проверьте свои клиенты. Разработчики уже выпускают патчи. Если обновления нет — удаляйте.
  2. Проверьте права. Ограничьте доступ приложений к сети там, где это возможно.
  3. Не верьте «зеленому замку». Он больше не гарантия.
  4. Смените клиент. Если ваш любимый инструмент молчит и не чинит дыру — бегите от него. V2RayTun, Exclave, Npv Tunnel — все под вопросом, пока не выйдет официальное заявление о фиксе.

Мы хотели свободы. Получили иллюзию.

Android дал нам открытость. Но открытость — это двусторонняя дверь. Через неё можно выйти наружу. А можно впустить внутрь тех, кто ждет вашего промаха.

А вы проверяли, не «светит» ли ваш VPN? Или надеетесь, что пронесет? 👇