Уязвимость в популярных VPN: что нужно знать

Пользователь с ником runetfreedom опубликовал на портале «Хабр» информацию о критической уязвимости в популярных VPN-клиентах, предназначенных для обхода блокировок. Эта уязвимость позволяет раскрыть реальный IP-адрес пользователя и потенциально расшифровать его трафик. Игорь Бедеров, глава отдела расследований T.Hunter, известный в СМИ как «Шерлок Холмс цифровой эпохи», подтвердил в интервью RTVI, что это технически возможно. Он отметил, что степень уязвимости зависит от того, какие данные собираются. Один IP-адрес сам по себе не несет значительной информации, кроме приблизительных данных о местоположении и провайдере. Однако, если собираются дополнительные данные, например, через предустановленные приложения, это может привести к созданию цифрового отпечатка устройства, что позволяет его идентификацию и отслеживание. На вопрос о возможности попадания чувствительных данных пользователей VPN к мошенникам, Бедеров не исключил такой сценарий. Он отметил, что теоретически это возможно, но создание и поддержка необходимого программного обеспечения требует значительных ресурсов, что делает это доступным только для серьезных групп. Суть проблемы заключается в том, что все мобильные клиенты на основе xray/sing-box запускают локальный socks5-прокси без авторизации. Это означает, что если на устройстве установлено шпионское приложение, оно может подключиться к этому прокси, минуя защиту VPN, и узнать выходной IP-адрес сервера. Автор статьи указал, что подобный сценарий описан в методичке Минцифры РФ, разосланной аккредитованным IT-компаниям, где перечислены порты для различных прокси-технологий, включая SOCKS. Защита через приватные пространства, такие как Samsung Knox, не спасает от уязвимости, так как loopback-интерфейс не изолируется. runetfreedom сообщил о проблеме разработчикам 10 марта 2026 года, но на момент публикации 7 апреля 2026 года ни один из проверенных клиентов не выпустил исправлений. В список уязвимых клиентов вошли: Hiddify, NekoBox, v2RayTun, v2RayNG, V2BOX, Exclave, Npv Tunnel, а также популярные конфигурации Clash и Sing-box. Особое внимание заслуживает клиент Happ, который активирует xray API без авторизации, что позволяет выгружать данные конфигурации, включая ключи и входной IP-адрес сервера. В сочетании с другой известной уязвимостью это открывает возможность для полной расшифровки трафика пользователей. Разработчики изначально не признавали проблему уязвимостью, но под давлением аудитории согласились внести исправления. Однако клиент уже удален из российского App Store, и пользователи iOS не смогут получить обновление. Автор публикации на «Хабре» призвал пользователей готовиться к тому, что их выходной IP может быть раскрыт. В качестве мер он рекомендует разделить входной и выходной IP-адреса, использовать CloudFlare WARP для выхода трафика, применять раздельную маршрутизацию и блокировать обратный доступ к российским IP на сервере. Для Windows часть этих настроек уже реализована в клиенте v2rayN в виде пресета «Все, кроме РФ».