твою девизию где иконки

У меня обновился extragram до нового интерфейса

вернули

zapret — the most powerful model in the world

Продложаем переписывание гуи теперь надо выделять бизнес логику в отдельные контроллеры

Рунет и админ связаны одной цепью

Схема работы VPN-клиента (как задумано)

Нормальная цепочка прохождения трафика на мобильном устройстве:

Приложение → VpnService (Android) → tun2socks → xray SOCKS5 (localhost:10808) → VPN-сервер → интернет

VpnService — это системный механизм Android, который перехватывает весь сетевой трафик устройства и перенаправляет его в TUN-интерфейс.

Именно через него реализуется per-app split tunneling — возможность выбрать, какие приложения идут через VPN, а какие напрямую. Если приложение-шпион исключено из VPN (или находится в отдельном Knox/Shelter-пространстве), его трафик не попадает в VPN-туннель. Так задумано.

Проблема в том, что xray/sing-box создают локальный SOCKS5-прокси на localhost БЕЗ аутентификации. Это отдельный сетевой сервис, который слушает на 127.0.0.1:10808 (или похожем порту).

И вот ключевой момент: любое приложение на устройстве может подключиться к localhost напрямую, минуя VpnService. Loopback-интерфейс (127.0.0.1) не проходит через TUN-интерфейс, поэтому per-app split tunneling на него не действует.

Что может сделать шпион

Шаг 1 — Просканировать порты localhost. Занимает несколько секунд, нагрузка нулевая. В методичке Минцифры уже перечислены характерные порты SOCKS (1080, 9000, 5555, 16000-16100), но даже
полный скан 65535 портов на loopback — дело секунд.

Шаг 2 — Найдя открытый SOCKS5-порт без аутентификации, подключиться к нему и отправить запрос на любой сервис, определяющий внешний IP (типа ifconfig.me).

Шаг 3 — Полученный IP — это выходной IP вашего VPN-сервера. Его передают в РКН, сервер блокируют.

Почему не помогает изоляция (Knox, Shelter, Island)

Приватные пространства Android изолируют:
- Файловую систему ✅
- VpnService (отдельный VPN-профиль) ✅
- Loopback-интерфейс — НЕТ ❌

Если VPN-клиент запущен в основном профиле, а шпион — в Knox/Shelter, шпион всё равно видит localhost:10808, потому что 127.0.0.1 общий для всех пространств. Это создаёт ложное чувство безопасности.

Happ помимо SOCKS5 без аутентификации включает xray API с HandlerService — тоже без аутентификации. Это позволяет:

- Дампить полные конфиги xray (ключи, IP сервера, SNI)
- В сочетании с ещё одной распространённой ошибкой конфигурации — потенциально расшифровать весь трафик

Разработчики Happ заявили, что API нужен для «сбора статистики», но для этого достаточно LogService. HandlerService позволяет управлять конфигурацией — что не объяснимо легитимными целями.

Минцифры официально потребовало от аккредитованных российских IT-компаний встраивать в свои приложения шпионские модули для обнаружения и блокировки персональных VPN.

Выпущена подробная методичка с описанием:
- Какие порты сканировать
- Какие VPN-признаки искать
- Какую информацию собирать

То есть это не теоретическая атака, а реальный вектор, который будет массово эксплуатироваться через обновления популярных российских приложений (Яндекс, WB, Ozon, и т.д.). Яндекс, кстати, уже использовал подобную технику ранее.

Чо надо делать
1. Включить SOCKS5 аутентификацию (login/password) — но UDP в SOCKS5 фактически работает без авторизации, поэтому UDP придётся отключить
2. Раздельные входной/выходной IP на сервере — если утёк выходной, входной ещё работает
3. geoip:ru — direct на клиенте — российские IP идут напрямую
4. Заблокировать geoip:ru на сервере — чтобы шпионы не могли связать паттерн трафика с вашим подключением
5. CloudFlare WARP как обёртка для выходного трафика
6. Заблокировать Happ по UserAgent на серверах подписок

На самом деле я еще месяц назад задумывался что этот вектор атаки могут использовать ру-приложения но не думал что этим будут заниматься.