Пользователь runetfreedom на «Хабре» рассказал, что обнаружил критическую уязвимость в популярных VPN-клиентах для обхода блокировок, которая раскрывает выходные IP-адреса пользователей.
Если коротко, то суть уязвимости в том, что клиенты запускают прокси без авторизации и защиты, что позволяет любому стороннему приложению подключаться к ним напрямую, узнавая внешний IP-адрес, что впоследствии может привести к блокировке соответствующего сервера. Уточняется, что приватные пространства вроде Samsung Knox ситуацию не спасают, равно как и применение раздельного туннелирования.
По словам автора, на момент публикации 7 апреля 2026 все популярные VLESS-клиенты, включая Hiddify, NekoBox и v2RayTun, не имеют исправлений этой проблемы.
Особенно уязвимым, согласно автору поста, оказался клиент Happ, который при определённых условиях может даже расшифровывать трафик пользователей. При этом автор сообщил, что первоначально разработчики приложения отказались исправлять уязвимость, и только после продолжительного давления аудитории согласились внести изменения в клиент.
Отдельной опасности подвергаются пользователи iOS, так как большинство таких приложений уже удалено из российского App Store, как следствие, они не получат обновлений с исправлением уязвимости.