Description suggestions
Necessity of recommendations
Критическая уязвимость VLESS-клиентов: неаутентифицированный SOCKS5 на localhost
Дата публикации: 7 апреля 2026
Источник: runetfreedom — ntc.party , Хабр
POC: github.com/runetfreedom/per-app-split-bypass-poc
Уровень серьезности: Критический (массовая эксплуатация неизбежна)
Вкратце:
Все популярные клиенты VLESS/xray/sing-box отображают на локальном хосте SOCKS5-прокси без аутентификации . Любое приложение-шпион на устройстве может подключиться к нему напрямую (минуя VpnService и раздельное туннелирование для каждого приложения), отправить запрос через прокси и узнать выходной IP VPN-сервера . Частные пространства Android (Knox, Shelter, Island) не защищают — общую петлевой интерфейс. Минцифры РФ разослало методичку по обнаружению VPN, включая сканирование характерных портов.
- Предпосылки
Минцифры РФ официально требуются от аккредитованных российских IT-компаний шпионских модулей в своих продуктах для обнаружения и блокировки персонального VPN. Выпущена конструкция методичка, описывающая:
Какие порты сканировать для обнаружения прокси
Какие VPN-признаки искать (флаги, интерфейсы, шаблоны трафика)
Какую информацию собирают и берут на себя
Характерные Прокси-порты из методички Минцифры:
Тип Порты
НОСКИ 1080, 9000, 5555, 16000-16100
HTTP 80, 443, 3128, 3127, 8000, 8080, 8081, 8888
Прозрачные Прокси 80, 443, 4080, 7000/7044, 8082, 12345
Тор 9050, 9051, 9150
Примечание: стандартные порты xray-клиентов (10808, 10809, 2080) в методичке пока не указано, но сканирование всех портов localhost занимает секунды.
Яндекс ранее уже использовал подобный метод ( сканирование локального хоста для обнаружения прокси ).
Обновление (апрель 2026 г.): Зафиксированы случаи активного подавления VPN-соединений сервисами Яндекса. При работе Яндекс.Музыки на мобильном интернете VPN-соединение через NekoBox (sing-box) сбрасывается. Переход на другой VPN-клиент (Karing) решает проблему, что указывает на дактилоскопию конкретных VPN-протоколов/клиентов на уровне DPI.
https://publish.obsidian.md/zapret/VLESS-SOCKS5-vulnerability#1.+%D0%9F%D1%80%D0%B5%D0%B4%D0%BF%D0%BE%D1%81%D1%8B%D0%BB%D0%BA%D0%B8
Description suggestions
Necessity of recommendations
Критическая уязвимость VLESS-клиентов: неаутентифицированный SOCKS5 на localhost
Дата публикации: 7 апреля 2026
Источник: runetfreedom — ntc.party , Хабр
POC: github.com/runetfreedom/per-app-split-bypass-poc
Уровень серьезности: Критический (массовая эксплуатация неизбежна)
Вкратце:
Все популярные клиенты VLESS/xray/sing-box отображают на локальном хосте SOCKS5-прокси без аутентификации . Любое приложение-шпион на устройстве может подключиться к нему напрямую (минуя VpnService и раздельное туннелирование для каждого приложения), отправить запрос через прокси и узнать выходной IP VPN-сервера . Частные пространства Android (Knox, Shelter, Island) не защищают — общую петлевой интерфейс. Минцифры РФ разослало методичку по обнаружению VPN, включая сканирование характерных портов.
Минцифры РФ официально требуются от аккредитованных российских IT-компаний шпионских модулей в своих продуктах для обнаружения и блокировки персонального VPN. Выпущена конструкция методичка, описывающая:
Какие порты сканировать для обнаружения прокси
Какие VPN-признаки искать (флаги, интерфейсы, шаблоны трафика)
Какую информацию собирают и берут на себя
Характерные Прокси-порты из методички Минцифры:
Тип Порты
НОСКИ 1080, 9000, 5555, 16000-16100
HTTP 80, 443, 3128, 3127, 8000, 8080, 8081, 8888
Прозрачные Прокси 80, 443, 4080, 7000/7044, 8082, 12345
Тор 9050, 9051, 9150
Примечание: стандартные порты xray-клиентов (10808, 10809, 2080) в методичке пока не указано, но сканирование всех портов localhost занимает секунды.
Яндекс ранее уже использовал подобный метод ( сканирование локального хоста для обнаружения прокси ).
Обновление (апрель 2026 г.): Зафиксированы случаи активного подавления VPN-соединений сервисами Яндекса. При работе Яндекс.Музыки на мобильном интернете VPN-соединение через NekoBox (sing-box) сбрасывается. Переход на другой VPN-клиент (Karing) решает проблему, что указывает на дактилоскопию конкретных VPN-протоколов/клиентов на уровне DPI.
https://publish.obsidian.md/zapret/VLESS-SOCKS5-vulnerability#1.+%D0%9F%D1%80%D0%B5%D0%B4%D0%BF%D0%BE%D1%81%D1%8B%D0%BB%D0%BA%D0%B8