Советую подписаться на коллег из «Шифровальни».

Много эксклюзивных материалов про блокировки в России и анонимность в интернете, которые кроме как там, особо нигде не прочесть. Иногда выходят даже классные туториалы.

В общем, переходите и подписывайтесь — @shifrovalnya.

tun2socks опасен!

В день рождения Рунета мы узнали что почти все приложения на ядре x2ray используют некорректное и плохое ядро TUN tun2socks.

Минцифры, кажется, узнали об этом раньше чем мы и уже начали её эксплуатацию.

Happ - уязвим и особо опасен, не рекомендуется использовать ни при каких обстоятельствах.
v2RayTun - уязвим
V2BOX - уязвим
v2rayNG - уязвим
Hiddify - уязвим
Exclave - уязвим
Npv Tunnel - уязвим
Neko Box - уязвим

Безопасных клиентов ТУН на андроид нет.

Однако если поднимать прокси, а не ТУН адаптер - тогда используется чистое ядро и всё в порядке.

Единственный выход тут - заблокировать Happ на серверах своих подписок по UserAgent Happ/*. Помните - даже один пользователь вашего VPN сервера с уязвимым клиентом сдаст вас цензору с потрохами (включая входной ip и sni) и вашему серверу капут.

Иметь отдельные входные и выходные IP. Если цензор узнает ваш выходной IP, то вы все еще сможете подключаться к входному и пользоваться интернетом.
1а. Если у вас нет возможности получить второй IP, то в качестве альтернативы вы можете завернуть весь ваш выходной трафик в CloudFlare WARP.

Следует применить раздельную маршрутизацию. На российских IP адресах нет заблокированных ресурсов (с ними борются другими методами). Так что на клиентах вам следует иметь стратегию geoip:ru → direct, other → proxy.

На сервере вам нужно заблокировать доступ обратно в geoip:ru. Если вы этого не сделаете, то шпионы в яндексах/wb/ozon’ах и т.д. сдадут цензору то, что вы пользуетесь прокси и цензор сможет найтти ip подключения проанализировав паттерн трафика. Я понимаю, что решение это сложное и неудобное, но и обстоятельства сейчас особые

Наш ZapretKVN по умолчанию УЖЕ использует sing-box как на windows (так и в момент релиза на android).

Фикс на виндовс для запрет квн должен выйти в течении пару дней (если потребуется).

Рекомендуем обновить телеграм до 12.6.4 для андроид и десктоп до 6.7.2.

Некоторые проблемы с мтпрокси пофиксили. Все старые версии тспу научились детектировать и пользоваться ими больше небезопасно.

Сетевой стек общий. Поэтому нужно задавать авторизацию на локальный socks5 прокси.

Шпион сможет увидеть порт socks5, но не сможет к нему подключиться, если он запаролен.

Проблема решается быстро и элегантно. Везде ставим пароли.

Разработчики Happ только что в своей тг группе в явной форме отказались фиксить эту уязвимость (и с API и с split tunnel bypass)

Найден клиент где эту уявзимость можно выключить

https://f-droid.org/packages/io.github.saeeddev94.xray/

Чтобы дальше не засорять канал основные подробности уже более технические буду рассказывать как обычно тут.

Искали в интернете и нашли ещё одну критическую CVE в sing-box (CVSS 9.1): обход SOCKS5-аутентификации в версиях до 1.4.5. Даже если вы включили auth — на старых sing-box оно обходится специально сформированным запросом (баг или фича?).

Все sing-box клиенты (Husi, Karing, SFA, Hiddify) должны использовать ядро ≥ 1.4.5.

Полный список после наших поисков

Ты не понимающий что происходит и будем ли мы все мертвы или шанс на то чтобы выжить ещё есть

Полная статья

https://publish.obsidian.md/zapret/VLESS-SOCKS5-vulnerability