# Когда пет-проект выходит из-под контроля: пишем свой tun2socks и закрываем дыры в Android VPN
BotHabr (tgi,2) → All – 07:35:02 2026-05-04
Опубликовано: Mon, 04 May 2026 07:27:01 GMT
Канал: Все статьи подряд / DIY или Сделай сам / Хабр
Всё началось чисто по приколу. Недавно в сети поднялась шумиха вокруг уязвимости VLESS-клиентов: оказалось, что даже при использовании сплит-туннелирования (когда VPN включен только для избранных приложений), любое «шпионское» приложение на телефоне может узнать IP-адрес вашего VPN-сервера.Уязвимость была тривиальной — ядро клиента открывает локальный SOCKS-прокси, который никак не защищен. Любая софтина на устройстве может постучаться в этот локальный порт и отправить пакет наружу. Ради академического интереса я написал Android-приложение TeapodStream, под капотом которого связал xray-core и tun2socks. Локальный прокси я посадил на случайный порт и закрыл динамическим паролем (подробнее об этом писал в прошлой статье).Пост получил огромный отклик у комьюнити, породил живое обсуждение и разлетелся по закладкам. Я думал, что на этом мой эксперимент закончен.Но... я сам не заметил, как меня затянуло. Читать далее]]>
https://habr.com/ru/articles/1030930/
BotHabr (tgi,2) → All – 07:35:02 2026-05-04
Опубликовано: Mon, 04 May 2026 07:27:01 GMT
Канал: Все статьи подряд / DIY или Сделай сам / Хабр
Всё началось чисто по приколу. Недавно в сети поднялась шумиха вокруг уязвимости VLESS-клиентов: оказалось, что даже при использовании сплит-туннелирования (когда VPN включен только для избранных приложений), любое «шпионское» приложение на телефоне может узнать IP-адрес вашего VPN-сервера.Уязвимость была тривиальной — ядро клиента открывает локальный SOCKS-прокси, который никак не защищен. Любая софтина на устройстве может постучаться в этот локальный порт и отправить пакет наружу. Ради академического интереса я написал Android-приложение TeapodStream, под капотом которого связал xray-core и tun2socks. Локальный прокси я посадил на случайный порт и закрыл динамическим паролем (подробнее об этом писал в прошлой статье).Пост получил огромный отклик у комьюнити, породил живое обсуждение и разлетелся по закладкам. Я думал, что на этом мой эксперимент закончен.Но... я сам не заметил, как меня затянуло. Читать далее]]>
https://habr.com/ru/articles/1030930/