Исследователи обнаружили критическую архитектурную ошибку в ряде популярных VPN-клиентов для Android, включая Hiddify, v2rayNG, NekoBox и Happ. Эта уязвимость позволяет практически любому приложению, установленному на том же устройстве, определить реальный IP-адрес прокси-сервера, который использует пользователь для выхода в интернет.
Проблема возникает из-за того, что эти приложения поднимают на смартфоне локальный SOCKS5-прокси без должной авторизации. В результате стороннее программное обеспечение — от легитимных банковских приложений до потенциально вредоносных модулей — может отправить запрос через локальный адрес и получить конфиденциальные данные о сетевом подключении.
Полученный IP-адрес может быть передан третьим лицам для последующей блокировки или отслеживания, что полностью нивелирует цель использования инструментов для обхода ограничений и защиты приватности. Эксперты рекомендуют пользователям быть осторожными с выбором VPN-решений и следить за обновлениями от разработчиков.