Ошибка в архитектуре VLESS-клиентов позволяет вычислять скрытые сервера. Из-за удаления сервисов из российского App Store владельцы iPhone рискуют остаться без спасительных обновлений.
Борьба за свободный интернет выходит на новый уровень, но угроза на этот раз пришла не от регуляторов, а изнутри самих инструментов защиты. Пользователи, привыкшие полагаться на современные протоколы обхода блокировок, оказались перед неприятным фактом: их же приложения могут непреднамеренно раскрывать адреса скрытых серверов. Седьмого апреля 2026 года независимый исследователь под ником runetfreedom опубликовал на платформе «Хабр» детальный разбор критической уязвимости, которая затрагивает практически все популярные VLESS-клиенты. Проблема кроется в самом механизме работы этих программ на мобильных устройствах.
Чтобы понять суть угрозы, нужно представить смартфон как закрытое помещение. VLESS-клиент, будь то Hiddify, NekoBox или v2RayTun, создает внутри этого помещения специальный невидимый тоннель для выхода в свободную сеть. Однако исследователь выяснил, что вход в этот тоннель не имеет замка. Приложения запускают локальный прокси-сервер без какой-либо авторизации и базовой защиты. Это означает, что любая другая программа, установленная на телефоне — от безобидной мобильной игры до сервиса доставки еды — может незаметно подключиться к этому открытому порту. Сделав это, сторонняя программа легко узнает внешний IP-адрес арендованного зарубежного сервера. В условиях жесткого контроля за сетевым трафиком в России эти данные могут собираться аналитическими трекерами и в конечном счете передаваться регуляторам для точечной блокировки конкретных узлов связи.
Надежды на встроенные системы безопасности мобильных операционных систем не оправдались. Как отмечает автор технического отчета, даже использование изолированных пространств, таких как защищенная среда Samsung Knox, или применение функции раздельного туннелирования не закрывают эту брешь. Локальный порт остается полностью видимым для других процессов в системе. Это ставит под прямую угрозу приватность всей сессии, превращая телефон в устройство, которое само же компрометирует с таким трудом настроенную инфраструктуру доступа к заблокированным ресурсам.
Ситуация усложняется реакцией некоторых разработчиков на обнаруженные недостатки. Особенную тревогу у специалистов информационной безопасности вызвал клиент Happ. При определенных условиях конфигурации эта уязвимость не только раскрывает IP-адрес, но и позволяет сторонним приложениям перехватывать и расшифровывать трафик пользователя. Поразительно, но создатели Happ изначально отказались признавать серьезность проблемы и выпускать срочный патч. Лишь после того как волна критики в профильных сообществах достигла критической массы, они согласились внести необходимые изменения в программный код. На данный момент большинство популярных клиентов все еще ожидают спасительных исправлений.
Если владельцы Android-устройств могут относительно быстро установить обновленные версии программ, скачав их напрямую в виде установочных файлов из сети, то пользователи техники Apple оказались в своеобразной цифровой ловушке. За последние месяцы российский сегмент App Store подвергся масштабной зачистке, в результате которой множество VPN-сервисов и профильных VLESS-клиентов были удалены по требованию властей. Это создает крайне опасный прецедент: даже когда разработчики закроют уязвимость, многие российские владельцы iPhone попросту не смогут получить апдейт официальным путем. Старые дырявые версии продолжат работать на их гаджетах, ежедневно рискуя скомпрометировать адреса спасительных серверов.
Специалисты по кибербезопасности сходятся во мнении, что этот архитектурный просчет заставит разработчиков полностью пересмотреть подходы к созданию инструментов антицензуры. Массовые и простые в настройке клиенты неизбежно привлекают внимание как блокировщиков, так и исследователей безопасности, что приводит к быстрому выгоранию публичных решений. В ближайшем будущем ожидается переход к более строгим стандартам внутренней защиты мобильных приложений, где безопасность локального соединения будет ставиться на один уровень с маскировкой внешнего трафика. До тех пор инженеры советуют пользователям внимательнее следить за разрешениями установленных программ на смартфонах и по возможности отзывать доступ к сети у подозрительных утилит.
Чтобы всегда оставаться в курсе новых угроз цифровой безопасности и первым узнавать о рабочих способах сохранения приватности в сети, рекомендуем подписаться на телеграм-канал Digital Report.
- Мессенджер BiP стал заменой Telegram в России - 07/04/2026 16:20
- Оказалось, что VPN сдают IP-адреса пользователей - 07/04/2026 15:01
- Релиз One UI 8.5 состоится 30 апреля - 07/04/2026 14:07
