Happ исправил критическую уязвимость в VPN-клиенте, но риск утечки зарубежного IP-адреса остался
Кодик кратко объясняет суть статьи
Разработчики популярного VLESS-клиента Happ оперативно устранили уязвимость, связанную с открытым доступом к Xray API через HandlerService, которая позволяла сторонним приложениям получать конфигурационные файлы и ключи доступа к серверам. Однако полностью безопасным приложение пока назвать нельзя: остаётся уязвимость, связанная с незащищённым локальным SOCKS5-прокси на адресе 127.0.0.1, через который сторонние приложения могут определить реальный IP-адрес выхода в сеть. Исправление этой проблемы пока не подтверждено. Схожие уязвимости затрагивают и другие популярные клиенты, включая v2rayNG и Hiddify, но информация об их устранении отсутствует. На 11 апреля Happ стал первым клиентом, в котором начали устранять выявленные риски.
Читайте в Telegram
|
Happ, один из самых популярных среди россиян VLESS-клиентов, оперативно исправил опасную брешь, которая позволяла сторонним приложениям «видеть насквозь» всю VPN-инфраструктуру внутри клиента.
Однако возможность выяснить реальный IP-адрес выхода в Сеть всё ещё остаётся, выяснил «Код Дурова».
Что исправили?
Речь идёт об удалении HandlerService, которая позволяла сторонним приложениям выявлять подробную информацию об установленных VPN-серверах внутри самого приложения Happ. Исходя из расследования, опубликованного несколько дней назад, следовало, что эта брешь могла привести к расшифровке всего зарубежного трафика в целом:
«Наиболее опасная ситуация выявлена в клиенте Happ. Приложение оставляет открытым доступ к Xray API, что позволяет не только узнать адрес сервера, но и полностью выгрузить конфигурационные файлы со всеми ключами доступа», — объяснял «Код Дурова» со ссылкой на расследование пользователя «Хабра» под ником runetfreedom.
Что не исправили?
О полной уверенности в безопасности использования Happ пока говорить рано. Разработчики приложения сообщили только об удалении API HandlerService из конфигураций, однако уязвимость в локальных прокси всё ещё доступна и позволяет выяснить реальный IP-адрес текущего сервера VPN — уведомления об исправлении этой бреши не поступало.
Речь идёт о следующей уязвимости, на которую ранее было обращено внимание в том же расследовании:
«Проблема затронула приложения Hiddify, v2rayNG, NekoBox, Happ и другие популярные сервисы, которые при работе поднимают на устройстве локальный SOCKS5-прокси без авторизации. Любой сторонний софт — от мобильных банков до скрытых шпионских модулей — может отправить запрос к этому прокси через локальный адрес 127.0.0.1 и получить реальный IP-адрес выхода в сеть».
По состоянию на 11 апреля подвижки в устранении опасных уязвимостей были зафиксированы только со стороны Happ. Ранее представители Happ отказывались вносить исправления. Об исправлении аналогичных брешей в других VLESS-клиентах, которые популярны среди российских пользователей, ничего не известно.
Подробнее о технических особенностях уязвимостей и о том, какие клиенты подвержены уязвимости, читайте в отдельном материале:
