Критическая уязвимость VLESS клиентов: ваш VPN-трафик и IP-адрес под угрозой обнаружения

Обнаружена критическая уязвимость, затрагивающая все известные клиенты протокола VLESS, которая ставит под угрозу базовые принципы приватности пользователей VPN. Уязвимость позволяет гарантированно обходить механизмы изоляции трафика, такие как per-app split tunneling и приватные пространства (Knox, Shelter, Island), и раскрывать реальный выходной IP-адрес прокси-сервера, который использует клиент. В худшем случае, для одного из клиентов уязвимость настолько серьезна, что потенциально позволяет злоумышленнику дампить конфигурационные файлы и даже расшифровывать весь трафик пользователя.

Автор находки, ранее выявивший шпионский модуль в приложении Max, сообщил о проблеме разработчикам соответствующих клиентов, однако его предупреждения были проигнорированы. Ситуация резко обострилась после того, как Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) разослало методические указания. Содержание этой методички, по мнению автора, указывает на то, что регулятор либо уже знает об уязвимости, либо вскоре о ней узнает.

В условиях бездействия разработчиков и потенциальной осведомленности государственных органов, автор принял решение обнародовать информацию, считая, что у пользователей должен быть шанс на реакцию. На текущий момент эффективной защиты от эксплуатации данной уязвимости не существует, что создает прямую угрозу для анонимности и безопасности трафика всех, кто полагается на уязвимые VLESS-клиенты.