Клиент Happ по праву удостоился отдельного раздела в этой статье. По никому не известной причине они активируют xray api без авторизации с включенным HandlerService, который позволяет буквально дампить пользовательские конфиги, включая ключи, входной ip адрес сервера и sni.
На уровне слухов злые языки говорят, что это бекдор и он был добавлен не случайно, а за некий крупный финансовый интерес. Я не знаю правда это или нет, но в любом случае исправить это уже невозможно. Их клиенты удалены из русского AppStore, так что они не смогут выпустить обновление.
Конкретно насчет этого момента - это исправляется очень легко со стороны сервисов простой передачей конфига, где HandlerService будет исключен (о чем уже было упомянуто здесь в комментариях). Ошибается каждый, но автор тут прямо и уверенно говорит, что исправить это уже невозможно, что является откровенной ложью. К тому же клиенты не удалены из русского AppStore, это тоже неправда. Насколько можно доверять остальным утверждениям автора и действительно ли он прямым текстом об этих уязвимостях сообщил представителям Happ, оставлю этот вопрос на суждение читателей.
Конкретно насчет этого момента - это исправляется очень легко со стороны сервисов простой передачей конфига, где HandlerService будет исключен (о чем уже было упомянуто здесь в комментариях). Ошибается каждый, но автор тут прямо и уверенно говорит, что исправить это уже невозможно, что является откровенной ложью. К тому же клиенты не удалены из русского AppStore, это тоже неправда. Насколько можно доверять остальным утверждениям автора и действительно ли он прямым текстом об этих уязвимостях сообщил представителям Happ, оставлю этот вопрос на суждение читателей.