Пользователь под ником runetfreedom опубликовал на портале «Хабр» материал о критической уязвимости в популярных VPN-клиентах для обхода блокировок — она позволяет раскрыть реальный IP-адрес пользователя и потенциально расшифровать его трафик. Глава отдела расследований T.Hunter Игорь Бедеров, которого в СМИ называют «Шерлоком Холмсом цифровой эпохи», подтвердил в беседе с RTVI, что технически это возможно.
«Насколько это уязвимо? Все зависит от того, что именно собирается. Потому что один IP-адрес сам по себе ничего толком за собой не несет, кроме как очень данные о местоположении, очень примерном, а также провайдере, операторе, к которому это устройство подключено. Но если же собирается иная совокупность данных, то есть когда мы говорим про использование неких приложений, предустановленных на телефоне, через которые и происходит утечка, то в совокупности с ними уже формируется цифровой отпечаток самого гаджета, включая различные параметры, которые могут привести к его идентификации и отслеживанию», — сказал он.
На вопрос о том, могут ли чувствительные данные пользователей VPN оказаться у мошенников, Бедеров не исключил такого сценария.
«Теоретически — да. Но развернуть и поставить в магазин приложений тот или иной софт — это стоит денег. Не каждый мошенник сможет создать и поддерживать такую инфраструктуру. Теоретически — да, но этим могут заниматься только очень-очень серьезные группы», — отметил эксперт.
О какой уязвимости идет речь
Согласно сообщению runetfreedom, суть проблемы в том, что все мобильные клиенты на основе xray/sing-box запускают локальный socks5-прокси без авторизации. На практике это означает: если на устройстве установлено шпионское приложение — например, встроенный модуль слежки в каком-либо сервисе, — то оно может напрямую подключиться к этому прокси, минуя защиту VPN, и узнать выходной IP-адрес сервера.
Автор указал, что именно такой сценарий предусматривает методичка Минцифры РФ, разосланная аккредитованным IT-компаниям: в ней перечислены характерные порты для разных прокси-технологий, включая SOCKS (1080, 9000, 5555, 16000—16100).
Защита через приватные пространства вроде Samsung Knox или раздельное туннелирование от уязвимости не спасают, поскольку loopback-интерфейс (локальная сеть внутри устройства) при этом не изолируется, добавил автор статьи.
Об уязвимости автор сообщил разработчикам 10 марта 2026 года, однако на момент публикации — 7 апреля 2026-го — ни один из проверенных клиентов не выпустил исправления. В список клиентов, где была выявлена уязвимость, вошли: Hiddify, NekoBox, v2RayTun, v2RayNG, V2BOX, Exclave, Npv Tunnel, а также наиболее распространенные конфигурации Clash и Sing-box.
Отдельного внимания заслуживает клиент Happ: он активирует xray API без авторизации с включенным HandlerService, что позволяет буквально выгружать данные конфигурации — включая ключи, входной IP-адрес сервера и SNI. В сочетании с другой известной уязвимостью конфигурации xray это открывает возможность для полной расшифровки трафика пользователей, отметил runetfreedom.
По его словам, разработчики поначалу отказались считать проблему уязвимостью и устранять ее, однако после давления со стороны аудитории все же согласились внести исправления. При этом клиент уже удален из российского App Store, а значит, пользователи iOS обновление не получат.
Автор публикации на «Хабре» призвал пользователей заранее готовиться к тому, что их выходной IP может быть узнан. В качестве мер он рекомендует разделить входной и выходной IP-адреса, завернуть выходной трафик в CloudFlare WARP, применять раздельную маршрутизацию с прямым выходом на российские адреса и заблокировать на сервере обратный доступ к российским IP. Для Windows часть этих настроек уже реализована в клиенте v2rayN в виде пресета «Все, кроме РФ», уточняется в статье.