Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Una vulnerabilità presente all'interno di VLESS nei client basati su xray e sing-box, consente a malware locali di bypassare il tunnel VPN e ottenere l’indirizzo IP dell’utente. Il problema, deriva dai proxy Socks5 non protetti e da configurazioni errate. La falla, non ancora corretta da molti sviluppatori, mina l’anonimato su Android e iOS, con app rimosse dagli store e utenti esposti anche dopo eventuali patch.
Un ricercatore, che si firma con lo pseudonimo di runetfreedom, ha recentemente segnalato un bug di sicurezza critico che interessa tutti i client VLESS per dispositivi mobili più diffusi. Secondo quanto affermato, il bug consentirebbe a un osservatore esterno, come uno spyware presente sul dispositivo, di scoprire il vero indirizzo IP in uscita del server VPN utilizzato dall’utente.
Secondo il report, il problema ricade nell’architettura dei client basati su xray e sing-box: dove tutti eseguono proxy Socks5 locali senza autorizzazione.
Lo split tunneling per singola app viene implementato tramite il servizio VpnService del sistema, ma un’app malevola, potrebbe connettersi direttamente al proxy Socks5 locale, aggirando questo servizio, e quindi prelevare l’indirizzo IP in uscita.
L’autore ha osservato nel suo lavoro che l’isolamento tramite Android Private Space (Knox, Shelter, Island e dispositivi simili), purtroppo non funziona. L’interfaccia di loopback non è isolata in questi ambienti, e questo rende la protezione una illusione di sicurezza.
Il 10 marzo 2026, il ricercatore ha notificato agli sviluppatori di molte applicazioni il bug. Secondo quanto da lui riportato, il 7 aprile 2026, nessuno dei team aveva ancora corretto la vulnerabilità. Tra i client vulnerabili, cita v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, nonché le popolari app Clash e Sing-box nelle configurazioni standard.
L’autore, cita specificamente il client Happ in quanto, secondo i suoi dati, l’app attiva l’API xray senza autorizzazione e con il servizio HandlerService abilitato, che gli consente l’estrazione delle configurazioni utente dal client, incluse le chiavi, l’indirizzo IP di input del server e l’SNI.
Il ricercatore riporta inoltre che un’ulteriore vulnerabilità comune nella configurazione di xray, potrebbe teoricamente decifrare il traffico degli utenti comnvinti di essere all’interno di un tunnel VPN.
Quando ha segnalato il problema agli sviluppatori di Happ e ha fornito una prova di concetto, questi hanno spiegato che l’abilitazione del servizio HandlerService risultava necessaria per raccogliere le statistiche sulle connessioni. L’autore riporta che questa spiegazione è insostenibile. Sostiene che il servizio LogService, anch’esso abilitato nell’app, è più che sufficiente per la raccolta delle statistiche. Il client Happ è stato rimosso da alcuni App Store e quindi gli sviluppatori non sono tecnicamente in grado di rilasciare una correzione.
Come sottolinea l’autore dello studio, al momento non esiste una soluzione radicale al problema.
Su iOS la situazione è particolarmente critica: la maggior parte delle app è stata rimossa dallo store e non riceverà più aggiornamenti. Anche se uno sviluppatore rilasciasse una nuova patch correttiva, molti utenti continuerebbero a utilizzare le versioni rilasciate precedentemente.
Come misure precauzionali, il ricercatore ha suggerito di separare gli indirizzi IP in entrata e in uscita dal server e di impostare un routing separato e di bloccare l’accesso inverso agli indirizzi sul server.
Dopo la pubblicazione del bug di sicurezza, gli sviluppatori di Happ si sono rifiutati di riconoscere il problema come una reale vulnerabilità, secondo l’autore, hanno accettato di correggere finalmente le vulnerabilità riscontrate.
