Vulnerabilidade Grave em Clientes VLESS Expõe IPs Reais e Dados de Configuração
Um pesquisador revelou uma falha de segurança crítica que afeta a maioria dos clientes VLESS móveis baseados em xray e sing-box. A vulnerabilidade permite a descoberta do IP de saída real do servidor proxy e a extração de configurações de usuário, comprometendo a privacidade e segurança dos usuários.
MundiX News·14 de abril de 2026·5 min de leitura·👁 3 views
Um pesquisador sob o pseudônimo runetfreedom alertou sobre uma vulnerabilidade séria que afeta a maioria dos clientes VLESS móveis que utilizam xray e sing-box. A falha permite que atacantes determinem o endereço IP de saída real do servidor proxy, contornem o split tunneling por aplicativo e, em alguns casos, extraiam as configurações do usuário.
De acordo com o pesquisador, a raiz do problema reside na arquitetura desses clientes, que estabelecem um proxy SOCKS5 local sem autenticação no dispositivo. O split tunneling por aplicativo é implementado através do VpnService do sistema, que encaminha o tráfego para tun2socks e, em seguida, para o proxy SOCKS5 e para o servidor VPN. Se um módulo espião estiver presente no dispositivo (por exemplo, como parte de um aplicativo malicioso), ele pode acessar diretamente este proxy SOCKS5, ignorando o VpnService e revelando o IP de saída.
O pesquisador destaca que o isolamento através de espaços privados no Android (Knox, Shelter, Island e outros) não mitiga o problema, pois, embora o VpnService seja isolado, a interface de loopback não é. Isso significa que um malware em potencial pode escanear o localhost e descobrir o proxy SOCKS5 aberto, mesmo a partir de um ambiente privado, criando uma falsa sensação de segurança para o usuário. Um Proof of Concept (PoC) para contornar o split tunneling foi disponibilizado no GitHub.
Em 10 de março de 2026, o pesquisador informou os desenvolvedores de todos os clientes populares sobre o problema. No entanto, até 7 de abril de 2026, data da publicação original, a vulnerabilidade não havia sido corrigida por nenhum deles. A lista de clientes vulneráveis inclui v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, bem como a maioria das configurações típicas de Clash e Sing-box.
O cliente Happ recebeu atenção especial no artigo. Segundo o pesquisador, ele inicia uma API xray com o HandlerService habilitado sem qualquer autenticação, permitindo a extração de configurações de usuário, incluindo chaves, IP de entrada do servidor e SNI. Combinado com outro erro de configuração comum do xray (detalhes não revelados), teoricamente torna possível até mesmo descriptografar o tráfego. Além disso, o cliente foi removido da App Store russa, o que impede o lançamento de uma atualização pela equipe de desenvolvimento.
Os desenvolvedores do Happ justificaram o HandlerService ativo como uma forma de "coletar estatísticas de conexão", mas o pesquisador rejeitou essa explicação, argumentando que o LogService seria suficiente para essa finalidade.
O pesquisador também chamou a atenção para um manual recente, supostamente distribuído pelo Ministério do Desenvolvimento Digital da Rússia para grandes empresas russas, que lista as portas típicas de proxies SOCKS, HTTP e transparentes, bem como o Tor. Isso sugere que o regulador já está ciente da vulnerabilidade ou está prestes a descobri-la por conta própria. O artigo original listou uma série de possíveis medidas técnicas para mitigar os riscos.
Após a publicação, os desenvolvedores do Happ inicialmente se recusaram a reconhecer a descoberta como uma vulnerabilidade, mas, sob pressão da comunidade, prometeram corrigir ambos os problemas.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Um pesquisador sob o pseudônimo runetfreedom alertou sobre uma vulnerabilidade séria que afeta a maioria dos clientes VLESS móveis que utilizam xray e sing-box. A falha permite que atacantes determinem o endereço IP de saída real do servidor proxy, contornem o split tunneling por aplicativo e, em alguns casos, extraiam as configurações do usuário.
De acordo com o pesquisador, a raiz do problema reside na arquitetura desses clientes, que estabelecem um proxy SOCKS5 local sem autenticação no dispositivo. O split tunneling por aplicativo é implementado através do VpnService do sistema, que encaminha o tráfego para tun2socks e, em seguida, para o proxy SOCKS5 e para o servidor VPN. Se um módulo espião estiver presente no dispositivo (por exemplo, como parte de um aplicativo malicioso), ele pode acessar diretamente este proxy SOCKS5, ignorando o VpnService e revelando o IP de saída.
O pesquisador destaca que o isolamento através de espaços privados no Android (Knox, Shelter, Island e outros) não mitiga o problema, pois, embora o VpnService seja isolado, a interface de loopback não é. Isso significa que um malware em potencial pode escanear o localhost e descobrir o proxy SOCKS5 aberto, mesmo a partir de um ambiente privado, criando uma falsa sensação de segurança para o usuário. Um Proof of Concept (PoC) para contornar o split tunneling foi disponibilizado no GitHub.
Em 10 de março de 2026, o pesquisador informou os desenvolvedores de todos os clientes populares sobre o problema. No entanto, até 7 de abril de 2026, data da publicação original, a vulnerabilidade não havia sido corrigida por nenhum deles. A lista de clientes vulneráveis inclui v2RayTun, V2BOX, v2rayNG, Hiddify, Exclave, Npv Tunnel, Neko Box, bem como a maioria das configurações típicas de Clash e Sing-box.
O cliente Happ recebeu atenção especial no artigo. Segundo o pesquisador, ele inicia uma API xray com o HandlerService habilitado sem qualquer autenticação, permitindo a extração de configurações de usuário, incluindo chaves, IP de entrada do servidor e SNI. Combinado com outro erro de configuração comum do xray (detalhes não revelados), teoricamente torna possível até mesmo descriptografar o tráfego. Além disso, o cliente foi removido da App Store russa, o que impede o lançamento de uma atualização pela equipe de desenvolvimento.
Os desenvolvedores do Happ justificaram o HandlerService ativo como uma forma de "coletar estatísticas de conexão", mas o pesquisador rejeitou essa explicação, argumentando que o LogService seria suficiente para essa finalidade.
O pesquisador também chamou a atenção para um manual recente, supostamente distribuído pelo Ministério do Desenvolvimento Digital da Rússia para grandes empresas russas, que lista as portas típicas de proxies SOCKS, HTTP e transparentes, bem como o Tor. Isso sugere que o regulador já está ciente da vulnerabilidade ou está prestes a descobri-la por conta própria. O artigo original listou uma série de possíveis medidas técnicas para mitigar os riscos.
Após a publicação, os desenvolvedores do Happ inicialmente se recusaram a reconhecer a descoberta como uma vulnerabilidade, mas, sob pressão da comunidade, prometeram corrigir ambos os problemas.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
