Post #4976

Привет РКН, это я Раскапывая грязное бельё MAX, парень нашёл уязвимость, которая позволяет любому приложению на устройстве узнавать реальный выходной IP вашего VPN. Проблема в том, что почти все популярные мобильные VPN-клиенты запускают локальный SOCKS5-прокси без пароля. Это значит, что любое приложение на вашем телефоне может узнать IP вашего VPN-сервера. Дальше, понятно, может последовать компрометация и блокировка от РКН, если на телефоне установлены другие приложения, связанные с государством и РКН. Пострадало большинство популярных клиентов, в том числе v2rayNG, V2BOX, Hiddify, Clash, но есть и отличившиеся. Клиент Happ ещё и Xray API показывает наружу. Так злоумышленник может еще и конфиги с ключами украсть. Разработчик Happ после публикации отказался считать это уязвимостью. Но спустя время, согласно статье, согласился исправить обе уязвимости 😊 НеКасперский