Исследователь обнаружил критическую уязвимость в популярных мобильных клиентах для протокола VLESS. Уязвимость затрагивает приложения, построенные на движках xray и sing-box, и ставит под угрозу приватность пользователей.Она позволяет злоумышленнику определить реальный IP-адрес прокси-сервера, обходя тем самым его маскировку. Кроме того, становится возможным обход функции split tunneling, которая разделяет трафик между приложениями.В случае с одним из клиентов ошибка также допускает извлечение пользовательских конфигурационных файлов. Эти файлы могут содержать чувствительные данные о настройках подключения.Проблема была публично раскрыта исследователем под ником runetfreedom в статье на платформе «Хабр». Подробности уязвимости затем были пересказаны в специализированном издании.Данный баг требует скорейшего исправления разработчиками клиентов, так как подвергает пользователей значительным рискам. Владельцам уязвимых приложений рекомендуется следить за обновлениями.