Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 190
а что если в виртуалку спрятать не скам / яндекс / госуслуги, а наоборот все нужные приложения? это не поможет?
я как раз тут вчера пробегая по постам и комментариям натыкался на примерно аналогичный вариант чтобы не светить интерфейс впн использовать - шелтер, в нем прокси на локалхосте и там уже телеграм и прочее. Но тот товарищ ошибается насчет того что локалхосты у шелтера и основного профиля разные, локалхост у них один и те-же и прокси поднятый на порту в шелтере так-же доступен из основного профиля и наоборот.
Закрыть прокси на локалхосте для всех приложений и оставить только для выбранных не смогут даже файрволы которые запускаются без рута.
P.S. впрочем он сам написал что бухой, так что простительно :-)
На Секлабе писали Шелтер течет=(
Upd: На ведроиде
походу создателям андроида и шелтера и в страшном сне не снилось, что кому-то нужно будет целенаправленно на своем устройстве запускать спайваре работать с ней и пытаться от нее-же защитится.
Вы правы, никто к подобному не был готов. Ни создатели операционных систем, ни создатели приложений. Новая эпоха, новые вызовы)
Таков путь
А у меня наоборот сложилось мнение, что создатели OC Android и "айфона" явно задались целью тотальной фоновой слежки и такой возможности для ЛЮБОГО приложения, установленного в системе.
Так как любое приложение имеет доступ к фону(даже если его отключить в настройках, оно само включится), IMEI, IP, переменам в состоянии сети и параметрам сети-что за сеть, время изменения, как изменилось.
Пользователь устройства может ограничить только банальные камеру, микрофон.
Более того, приложения которым например в моем случае Самсунг дал особые ключи-имеют ещё больший доступ к данным.
Пишется код на Kotlin. Можно прописать автоматический сбор в фоновом режиме "сеть+местоположение".
Базово-через Foreground Service делается на Kotlin.
Также дополнительно можно задействовать Work Manager, Connectivity Manager.
Данные сети собираются проще всего.вайфай, мобсеть, тип соединения..Разрешение Access-Network-State не требует фоновый режим, может в любой момент получить всё это через Connectivity Manager. Есть нюансы, но через Foreground Service -базово любое приложение.
Всё это легально в рамках API Андроида. У айфона есть аналоги.
Мне ещё не нравится что из под него видна локальная сеть и приложение может свободно сканировать порты других устройств и даже посылать пакеты (привет 22)
Интересно, у если ядро собрано с поддержкой network namespace можно ли прикостылить их к профилям?
М.б. внешние поведенческие, через счетчики аналитик завязанных на идентификации, вроде Я.Метрика?
Вот да. Тоже кажется начнут на страницах стучать на заграничные сервера и сверять ip.
Там уже не кажется, там либо уже начали либо вот вот начнут, проблем то минимум, добавить java скипт который будет делать запрос к любому узлу из этих:
https://api.ipify.org?format=json
либо свой собственный аналог на зарубежном vps поднимут и сохранять данные на сервере что-то типа (по токенам грока):
В firefox на этот случай есть (в остальных браузерах понятия не имею есть ли аналоги):
Нужные странички в "личное", спайваре в "покупки" или куда пожелаете и пускай стучатся
Яндекс фингерпринты при случае делает, собирая данные вплоть до названий Wi-Fi сетей (BSSID) и гео. Прокси не спасут, если отпечаток уплыл через Яндекс.Браузер или скрипты Яндекс приложений. Идентификация идет через склейку сессий с Яндекс айди (Canvas, WebGL, шрифты и+100500 условных параметров).
тем кто пользуется яндекс браузером по моему скромному мнению внп вообще противопоказан. Кстати подозреваю что им как раз хорошо зайдет и мессенджер "телега"
Я.Бразуер это часто один рабочий метод выхода для пожилых людей на стареньких устройствах, посмотреть тот же ютуб. Даже выкиним Я.Браузер, есть Я.Гоу, например и еще кучу сервисов от Яндекса, которые тупо висят в телефоне.
я извиняюсь, но то что я писал выше не про телефон, а про компьютер, на телефоне все сложнее там чтобы использовать прокси (не впн) нужно даже не firefox ставить, а его версию firefox nightly (хорошо хоть от самих же разработчиков firefox).
с чего бы яб будет отлично от хрома работать на старых устройствах? движок один и тотже и кушает также
Я тоже раньше не понимал в чем причина и считал домыслами, пока сам для теста не проверил на слабых устройствах и "плохом" инете. Тут дело не в движке а в каскаде оптимизаций:
1. Агрессивная выгрузка вкладок. Я.Браузер замораживают неактивные вкладки гораздо быстрее и жестче. Это предотвращает ситуацию, когда браузер занимает 90% памяти.
2. Оптимизация интерфейса. Внезапно, для старых версий винды и ведроидов у Яндекса есть встроенные механизмы снижения нагрузки на GPU при отрисовке интерфейса.
3. Вшитые кодеки. Я.Браузер часто юзает аппаратное ускорение для видео, а не программное.
4.Турбо. Когда скорость падает, страницы проходят через сервера-посредники, где картинки и видео сжимаются, а лишние скрипты отсекаются.
5. Локальные DNS и CDN. В России и СНГ у Яндекса тупо больше узлов выдачи контента.
6. Встроенный Protect в Я.Браузере блокирует крупные баннеры и видеовставки на уровне ядра.
Причем, заметно это только на слабых устройствах.
уже комментарии начали с помощью llm писать?
Я тоже о подобном читал, не знаю как сейчас дела обстоят, но в 2020 я как-то скачал Я.Браузер на очень очень старом компе и приговор был неутешительным, комп лагал, тормозил, а при включенном Я.Браузере и других приложениях комп невозвратно зависал.
Тот же ютуб не будет работать, если браузер будет сливать IP впн чтобы ютуб работал.
простите, а какой другой браузер может любое иностранное видео на ютубе перевести голосом?
Можно прокси запускать только для контейнера
CORS не даст. Запрос-то они сделают, а вот ответ им прочитать браузер не даст.
Но зачем нам ещё один vpn-клиент? Могли бы вы сделать форк, например, Nekobox без socks? А в идеале чтобы он ещё мог использовать плагин Naiive без открытого +одного порта socks?
А там может вы бы влили эту функциональность в основную ветку.
Мог бы)
Тогда могли бы вы, пожалуйста, однажды сделать, это хорошее дело для тысяч признательных пользователей?
открывай сбор, накидает тебе донатов)
Приветствую, не работает от слова совсем, на Андроиде, в отличии от некобокс, чяднт?
Антон, простите за нубский вопрос, но не делали случайно ли вы хотя бы краткий FAQ или мануал по своему клиенту? Подсказок в самом приложении android и информации на гитхабе недостаточно, судя по всему, по крайней мере - для меня. Вот вышеупомянутый NekoBox + trojan-конфиг у меня настроен на маршрутизацию отдельных богомерзких приложений через квн и большей частью отлично работает. Попытался настроить ваш клиент по такому же принципу с этим же работающим конфигом - и почему-то не заводится. Показывает работающее соединение через квн, но программы отказываются видеть "свет в конце тоннеля"))) Если не затруднит, пните в нужную сторону или где почитать особенности настройки. Заранее благодарю!
А любителям минусовать - идите в ркновский адъ.
Для Nekobox уже предложили трюк для блокировки запросов по socks5, надо добавить кастомное правило в Маршруты:
{
"inbound": ["mixed-in", "socks-in"],
"outbound": "block"
}
Тут интересный вопрос родился. Какие DNS будут использоваться для резолвинга приложениями, которые ходят через VPN?
я вообще мало понимаю в подобном и потому решил спросить тут. вот я пользовался обновленным и (на телефоне) Happ и каринг и этой прогой с этой статьи, но... хз на счет других прог но вот чтобы я не делал приложение личный кабинет мегафон всегда просит отключить ВПН. получает оно видит что ВПН включен и значит ТЕМА не работает так?
Основной посыл в том, что vpn имеет кучу косвенных признаков на android. Главная проблема - утечка вашего внешнего ip. Вы можете добавить приложение в исключения впн клиента, но оно все равно может задетектить внешний ip - клиент в статье борется именно с этим.
сам андроид устроен так что при включении любого стороннего сетевого интерфейса появляется значек - VPN. Насколько я в курсе это не поборимо без доступа к ядру (т.е. рута).
Альтернатива - использовать прокси т.е. 127.0.0.1:XXXX это в системе не светится, но приложения и веб странички с помощью JS могут определить его наличие и соответственно куда он ведет.
Если кому интересно насчет настроек браузера firefox, мультиконтейнера с раздельным прокси и перекрытия доступа js со страничек открытых в напрямую (без контейнера с настроенным прокси) к сканированию прокси сервисов, пишите расскажу.
очень интересно, если оно на андроиде работает
напоминает спам в телеге “есть методички по … кому интересно пишите в лс” хД лучше уж напишите статью :)
Было бы отлично такое иметь в формате статьи. Я пока только узнала о существовании опции “Block Outsider Intrusion into LAN” в uBlock Origin, но не нашла готового детектора, на котором можно проверить эффективность защиты.
Ну и в целом все сейчас про мобилки пишут, там конечно основная боль, но хотелось бы и про пк послушать. Там много возможностей делать сплит (браузеры с прокси-экстеншенами, WireSock, Proxifier/ProxiFyre/ProxyBridge, Clash Verge Rev, Karing итд на sing-box), но хочется найти максимально подходящий ситуации вариант.
А конкретно по браузерам еще волнуют вопросы "как защититься от вражеского пикселя на страничке ру-зоны, который хостится на зарубежном CDN и детектит IP", "что еще зловредного сейчас могут делать сайты для детекции, кроме прямого чтения IP посетителя", а также и "как лучше предотвратить случайное открытие сайта не в том браузере/контейнере".
ну самое просто проверить эффективность защиты - попросить грока или квена или чатгпт набросать html файл с js кодом который будет проверять открытые порты на локалхосте.
я просто помещаю в контейнер с прокси только необходимые ресурсы, в частности это те-же грок-чатгпт. Остальное открывается в обычных окнах, а спайваре строго в контейнере "покупки" :)
Тут наверное еще стоит дополнить про возможность traffic control через Containerise, Conductor или Container Traffic Control, вероятно это оптимальное решение для "как лучше предотвратить случайное открытие сайта не в том контейнере".
статью по вашей просьбе я нарисовал, но боюсь дальше песочницы она не пойдет. Но все что есть в статье можно прочитать тут - https://habr.com/ru/articles/1023224/comments/#comment_29841598
А можете сделать в приложении чтобы выбирать: либо кто через vpn, либо кто напрямую. А то сейчас долго выбирать кто напрямую;)
как думаете, какие еще неочевидные маркеры наличия VPN могут начать массово использовать для детекта в ближайшем будущем?
Так ведь давно уже же используют обратный пинг для этого. Приложение пингует определенный хост и засекает время ответа. Хост пингует выходной IP квн приложения и сообщает ему время ответа. На разнице этих времен весь кордебалет и палится
я как не великий специалист в этой области ничего не понял, можно подробнее?
На 2ip.ru зайдите при включенном квн и проверьте наличие туннеля. Вкратце, приложение, скажем озон, пингует хост где-то за рубежом. Пинг идет через ваш квн сервер, и это долго. Потом тот хост пингует адрес, который его пинговал (ваш квн за рубежом), и это быстро (внезапно!). Вот и все, сижу на амнезии премиум и у них на выходной ноде не отключен ICMP. Такая беда...
один через впн, второй мимо:
ну и с наличием разницы во времени даже не знаю что делать
Допустим, все друг друга попинговали. Как склеить эти события? На основании какого ключа?
Я бы сделал так: приложение запустилось, попинговало сервер и отправило результаты на сервер. Сервер в свою очередь попинговал в сторону клиента и сравнил результаты.
А если приложение напрямую запускается, в обход впн?
А если у клиента NAT провайдерский? NAT-шлюз снаружи не факт что вообще пинговаться будет
Если что, я отвечал на этот вопрос:
Как склеить эти события? На основании какого ключа?
И у меня такие же вопросы. Вот нет ответа на пинг, какой вывод? Или допустим сменил вышку/сеть - тоже разница в пинге.
Я думаю, как косвенная улика - сама по себе ничего не говорит, но вкупе с другими подтверждает.
Да вообще ни о чем не говорит.
Это может быть мобила на 2g сети в гребенях, через 100500 радиорелеек с серым адресов. А NAT-шлюз у провайдера в областном центре с хорошим интернетом.
От клиента до сервера пинг долгий и с потерями, а от сервера взад (до NAT-шлюза) маленький и хороший. Какой вывод на этом основании можно сделать? Никакого.
я тут попинговал, попробуйте сделать вывод где я нахожусь:
ping 8.8.8.8
Обмен пакетами с 8.8.8.8 по с 32 байтами данных:
Ответ от 8.8.8.8: число байт=32 время<1мс TTL=128
Ответ от 8.8.8.8: число байт=32 время<1мс TTL=128
Ответ от 8.8.8.8: число байт=32 время<1мс TTL=128
Ответ от 8.8.8.8: число байт=32 время<1мс TTL=128
ping 1.1.1.1
Обмен пакетами с 1.1.1.1 по с 32 байтами данных:
Ответ от 1.1.1.1: число байт=32 время<1мс TTL=128
Ответ от 1.1.1.1: число байт=32 время<1мс TTL=128
Ответ от 1.1.1.1: число байт=32 время<1мс TTL=128
Ответ от 1.1.1.1: число байт=32 время<1мс TTL=128
ping ya.ru
Обмен пакетами с ya.ru [77.88.55.242] с 32 байтами данных:
Ответ от 77.88.55.242: число байт=32 время<1мс TTL=128
Ответ от 77.88.55.242: число байт=32 время<1мс TTL=128
Ответ от 77.88.55.242: число байт=32 время<1мс TTL=128
Ответ от 77.88.55.242: число байт=32 время<1мс TTL=128
ping vk.ru
Обмен пакетами с vk.ru [87.240.132.78] с 32 байтами данных:
Ответ от 87.240.132.78: число байт=32 время<1мс TTL=128
Ответ от 87.240.132.78: число байт=32 время<1мс TTL=128
Ответ от 87.240.132.78: число байт=32 время<1мс TTL=128
Ответ от 87.240.132.78: число байт=32 время<1мс TTL=128
А как побороли возможность любому приложению отправить запрос через tun? Например,
curl https://chatgpt.com/cdn‑cgi/trace ‑interface tun0
что выдает?
лол! Нафига? Есть специальные сервисы для этого, а если надо его несложно сделать самому подняв впс в нидерланда с nginx или caddy который будет возвращать json с данными о твоем конечном адресе, браузере, операционной системе и твое локальное время.
Ну типа стандартного - https://ipinfo.io/json
Смысл в том, чтобы приложение не могло отправить запрос в туннель, а отправляла бы его через обычный интернет
а, ну для этого мы используем раздельное маршрутизирование для приложений, это решает проблему с тоннелем, но остается открытой проблема с socks5 прокси на локалхосте, которую как раз пытается решить автор этой статьи.
P.S. Мое лол-нафига относилось к этой части вашего комментария -
curl https://chatgpt.com/cdn‑cgi/trace ‑interface tun0
для определения обхода блокировок проще использовать так -
curl https://ipinfo.io/json ‑interface tun0
В этом-то и проблема, что маршрутизация для приложений в большинстве клиентов для vless не работает. Точнее не работает фильтрация "разрешенных приложений".
Сайты типа ipinfo - уж больно явно являются сервисами проверки. Кажется, что такие известные домены можно заблокировать в приложении. Но вот пример с chatgpt на самом деле иллюстрирует гораздо бОльшую проблему: все домены работающие через cloudflare имеют у себя эндпоинт /cdn-cgi/trace а их не заблокировать без блокировки домена. Да и утопия это - писать правила для блокировки всех доменов работающих через cloudflare
Нафига? Есть специальные сервисы для этого
О, нет, это наоборот прекрасно. Я оценил трюк. Клиент может использовать политику:
1. «По этому короткому списку в туннель».
2. «Все остальное напрямую».
В тоже время сервер может иметь политику:
1. «По этому короткому списку выпустить в интернет».
2. «Все остальное заблокировать».
И тогда твой сервис который ты любовно поместил в свой список начинает на тебя стучать. Даже при такой жесткой политике
Android без рут прав у приложения не дает биндить сокет в туннель, если приложение находится в списке исключений. Binding socket to network 207 failed: EPERM (Operation not permitted).
Ну вот на обычных клиентах, типа v2rayNG, из termux (если он даже не в списке проксируемых) получается, что вполне себе запрос отправляется легко.
Или имеется в виду, что надо делать типа "черный список" - то есть исключать приложения из прокси? Ну тогда получается весь служебный трафик будет через vps идти. Зачем? Имхо проще же заворачивать через прокси отдельные приложения, а по умолчанию все пускать напрямую, нет?
Как раз добавил "обратный" список
Виноват, всё нашёл. Тестирую.
Протестировал - к сожалению, такая же штука, как и у большинства клиентов: выбор приложения для прохода через прокси не запрещает другим слать через tun0 запросы
Балин, вы меня этой находкой часов на 10 выбили из равновесия, и еще столько же буду отходить вероятно. :)
Но благо есть варианты, в том же sing-box есть возможность понимать что за приложение шлет пакет - а это уже лучик надежды) Буду смотреть в эту сторону
Как минимум, можно попробовать интерфейс поднимать под неочевидным именем вместо tunX.
https://github.com/SagerNet/sing-box/issues/4009 - вот это по идее должно помочь
Меняете tun2socks на sing-box в качестве менеджера tun0 интерфейса и далее блокируете всё, что биндится напрямую.
я правильно понял что вы закрыли порт прокси рэндомным паролем и биндите его на разные порты, при этом тоннель впн доступен приложениям из списка определяемого пользователем. Сам статус впн в системе без рут прав скрыть не получится но спайваре им по крайне мере воспользоваться не могут, а прокси для них становится недоступен?
Вообще, работающую блокировку по приложению я только у flclash нашел. Но там конфиги все переписывать надо
к обратному списку стоит поменять красный перечеркнутый кружок на значке приложения на что-то другое. (v 1.0.5)
Сожалею, это сообщение и ветка ниже
Пофиксил в 1.1.0. Написал свою tun2socks реализацию, которая при открытии подключения сверят от кого пришел пакет, а если пакет прошел минуя api андроида - дропается.
а если я "настоящий" виндовз накачу на смартфон, это поможет ? видел, были такие "хакнутые" устройства или выйду через второй смартфон и с него буду раздавать трафик ?
А можно добавить параметр, чтобы по умолчанию всё шло мимо впн, а то что надо пустить в впн, самому отметить?) А то сиди выбирай кучку программ которым не надо впн, вдруг чтото пропустим
А, всё, нашел галочку, извините. А не, не работает, вот что выдает:
Start failed: addAllowedApplicationalready called
Я не силен в мобильной разработке. Но скормил Ваш клиент чатужпт, чтобы провести аудит. Вот его ответ:
Конфиги с секретами сохраняются в plaintext в SharedPreferences. В сериализацию попадают uuid, password, publicKey, shortId и даже rawUri, то есть фактически полный импортированный URI. Подписки тоже сохраняют URL целиком. См. /tmp/ teapod‑stream/lib/core/models/vpn_config.dart:99, /tmp/teapod‑stream/lib/core/models/vpn_config.dart:120, /tmp/teapod‑ stream/lib/core/models/vpn_config.dart:122, /tmp/teapod‑stream/lib/core/services/config_storage_service.dart:64, /tmp/ teapod‑stream/lib/core/services/config_storage_service.dart:117, /tmp/teapod‑stream/lib/core/services/ config_storage_service.dart:121.
Поверх этого в AndroidManifest не отключён backup/export rules. Там нет ни android:allowBackup=«false», ни явных dataExtractionRules. Для обычного пользователя это не мгновенная межприложная утечка, но для high‑risk сценария это плохая гигиена хранения секретов. См. /tmp/teapod‑stream/android/app/src/main/AndroidManifest.xml:11.
Клиент действительно генерирует случайные SOCKS‑логин/пароль и порт, это хороший ход. Но затем сервис логирует полный запуск tun2socks, включая строку вида socks5://user:password@127.0.0.1:port, в logcat. То есть секреты, которые только что защитили localhost‑прокси, тут же утекли в системный лог. См. /tmp/teapod‑stream/lib/providers/vpn_provider.dart: 96, /tmp/teapod‑stream/lib/providers/vpn_provider.dart:103, /tmp/teapod‑stream/lib/protocols/xray/xray_config_builder.dart:20, /tmp/teapod‑stream/android/app/src/main/kotlin/com/teapodstream/teapodstream/XrayVpnService.kt:234, /tmp/te apod‑stream/android/app/src/main/kotlin/com/teapodstream/teapodstream/XrayVpnService.kt:249, /tmp/teapod‑stream/andro id/app/src/main/kotlin/com/teapodstream/teapodstream/XrayVpnService.kt:430.
README обещает больше, чем реально реализовано. Заявлены Trojan, Shadowsocks, H2, QUIC, но builder по факту собирает полноценные outbound‑настройки только для VLESS и VMess; для остальных протоколов возвращается пустой settings‑блок, а supportsConfig() всё равно отвечает true. Это не прямая уязвимость, но плохой сигнал по зрелости и может дать ложное ощущение «всё поддерживается». См. /tmp/teapod‑stream/README.md:7, /tmp/teapod‑stream/README.md:8, /tmp/teapod‑stream/ lib/protocols/xray/xray_config_builder.dart:124, /tmp/teapod‑stream/lib/protocols/xray/xray_config_builder.dart:150, / tmp/teapod‑stream/lib/protocols/xray/xray_engine.dart:230.
Допускаю, что ИИ мог нафантазировать. И свою безграмотность в этом вопросе тоже беру в расчет. Но если я правильно понял - Вы сами несколько раз в открытом виде кладете секреты
android:allowBackup - Чего плохого в возможности бэкапа пользователем? "Но затем сервис логирует полный запуск tun2socks" - кто имеет доступ к логам? Пользователь?
Не совсем понимаю претензии к автору. Он честно признался, что за пару дней подпивасно накодил прогу в качестве proof of concept. Он не позиционировал её как самое защищённое решение на свете, а просто показал, что исправление так сильно всех напугавшей уязвимости, в целом, несложное.
Давайте и за меня ответит ИИ.
Вот краткое резюме по каждому пункту:
Открытые конфиги (SharedPreferences): Не страшно. Защищено встроенной изоляцией Android. Без root-прав (взлома системы) другие приложения до этих файлов не доберутся.
Резервное копирование (Backup rules): Не критично. Конфиги просто сохраняются в ваш бэкап на Google Drive или доступны через USB-кабель. Если телефон запаролен и аккаунт защищен — угрозы нет.
Пароли в логах (Logcat): Не опасно. Утекли пароли от локального узла (внутри самого телефона). Из интернета к нему не подключиться, а Android запрещает обычным приложениям читать системный лог.
Заглушки вместо протоколов: Это не уязвимость. Разработчик просто не дописал код для Trojan и Shadowsocks, хотя пообещал их в описании.
Общий вывод: Для личного использования это безопасно. Это проблемы "чистоты" кода, а не реальные дыры, через которые ваш телефон могут взломать извне.
Расскажите, а зачем вы это сделали? Вы считаете что автор не смог этого сделать сам?
Постыдитесь и не тащите галлюцинации нейронки на технический ресурс) Большинство из этих "уязвимостей" в песочнице андроид вообще смысла не имеют
Отдельный айфон для адекватной жизни в неадекватной стране уже готов. Наивысшая сейчас мера - изоляция "плохих" и "хороших" приложений друг от друга на уровне физического устройства.
А левую симку цифровую личность для “хороших” приложений© Вы заготовили? Боюсь, что без радикальных мер, типа спонсирования агитации статистически значимого процента пользователей иметь два активно используемых телефона, Вы добьетесь лишь попадания в ВИП-список товарища майора. И данные о Вас лично будут собирать не приложения на Вашем же телефоне - в общую большую кучу, а провайдеры Ваших подключений - в отдельную небольшую, тщательнее просматриваемую. Да, наверно, пока товарищу майору не до таких изысков, но закон Яровой (операторы хранят разговоры, SMS и трафик до 6 месяцев, а метаданные — до 3 лет) и мысленная экстрополяция тенденций не на стороне Вашей оптимистичности неуловимости.
А что увидит товарищ майор? Кучу зашифрованного трафика, мимикрирующего под легальные сайты с одного телефона и реальный трафик на легальные сайты с другого?
Да хз что он там увидит, я не сетевик-затейник. Хотел призвать взглянуть с обратной стороны тезиса
изоляция “плохих” и “хороших” приложений друг от друга на уровне физического устройства.
На первый взгляд вариант кажется более простым и надежным, чем все эти изолированные пространства, которые, при ближайшем рассмотрении, либо пользователь не сумеет квалифицированно разделить (особенно дилетант по статье из интернета), либо там заранее бэкдоров напихано для товарищей майоров всех стран.
Но вот то, что озвучил в предыдущем комментарии, заставило усомниться. Если кто-то болтивый грамотный прокомментирует соотношение рисков - с благодарностью послушаю. Если кто-то разумный не столь грамотный хотя бы молча задумается - наверно это будет правильно.
Hidden text
Ну и, с точки зрения дилетанта-циника-гуманиста, хотел напомнить, что все технические, но не замаскированные (под массовость или непреднамеренность) методы "за все хорошее против всего плохого" рискуют столкнуться с нетехническим брутфорсом:
есть задокументированная фиксация, но нет возможности расковырять что внутри - риск попасть под
презумцию виновностинет основания недоверять сотруднику/экспертуматериал уже есть, а статью напишем
терморектальный криптоанализ
"нас 200 миллионов, всех не перевешаете"
Типичная ситуация: в семье несколько аппаратов, симкарты оформлены на одного человека. Более того, несовершеннолетние не могут сами оформить симкарту, симкарта детей (младше 18 лет!) типично оформлена на одного из родителей или старшего родственника, и мало кто потом переоформляет договор.
Нередкая ситуация: старый телефон и новый телефон, в каждом своя симкарта. С учётом того, что во многих смартфонах во второе гнездо можно вставить либо SIM2 , либо микроSD, два аппарата удобнее одного.
Миллионы граждан пользуются двумя и более аппаратами. Такого количества "майоров" просто нет, и автоматизация тут никак не поможет. Из-за автоматизации у сотрудников как минимум МВД уже больше работы, чем без неё из-за ложных срабатываний.
С iPhone по очевидным причинам проверить не могу. А есть ли возможность ограничивать некоторые приложения доступом только к некоторому сегменту сети (все ру идут в ру или идут нафиг)?
AmneziaWG лишена этой уязвимости?
насколько я вижу у себя - нет, не лишена, у меня по команде в Термуксе из поста ниже (curl --interface tun0 whatismyip.akamai.com) показало адрес выхода
curl --interface tun0 whatismyip.akamai.comпоказывает выходной IP прокси даже если приложение из проксируемых исключено. Увы, но ваш клиент тоже уязвим на Android с ядром 5.7+. В Exclave уже починили и можно tun защитить правилами, а socks вообще отключить.
Есть версии андроида, в которой это уже починили? И сразу вопрос вдогонку - на Linux можно определить PID процесса, открывшего сокет, но с рутовыми привилегиями. На андроиде без рута это тоже не решается?
Ещё нет, в самом андроиде ждать фикс будем долго и до большинства смартфонов он никогда не дойдёт. Рут не нужен, на уровне самого приложения поднимающего tun можно определять UID приложения, которое шлёт трафик. Если трафик был насильно отправлен в tun-интерфейс через SO_BINDTODEVICE или Network.bindSocket, то определить UID не получится. Вот такой нераспознанный трафик можно блокировать или слать напрямую. Оба варианта защитят TUN.
Посмотрите как это уже сделано в sing-box for Android. Sing-box через JNI получает колбэк FindConnectionOwner от кода на котлине и вызывает его для каждого соединения. Внутри этого колбека используются уже апи андроида чтобы отдать гошной части владельца соединения, отдаётся само имя пакета. Поэтому в сингбоксе есть рабочее правило роутинга package_name и недавно добавили package_name_regex. В xray этого нет, у них нет своего приложения под Андроид. Но эту логику можно портировать в любой xray-клиент просто взяв из сингбокса.
Ещё везде, где решили проблему запаролив сокс скорее всего есть проблема с UDP, по идее он обходит аутентификацию SOCKS. Поэтому от tun2socks нужно уходить и оставлять только родной Tun от Xray, или насильно отключать udp.
Написал свою tun2socks реализацию, которая при открытии подключения сверят от кого пришел пакет, а если пакет прошел минуя api андроида - дропается.
Ещё через udp утечка есть, которую так не закрыть: https://github.com/2dust/v2rayNG/issues/5457#issuecomment-4198293000
Безопаснее всего будет уходить от tun2socks к tun в xray. В последних коммитах как раз добавили маршрутизацию по UID.
А дайте ссылочку на гит.
Я последний раз писал что-то под андроид больше 10 лет назад, но тут тоже начал активно исследовать и копаться.
У меня детекти все-равно) Tun виден
А без сборки как нибудь выложить можно? В виде apk для чайников.
Уже вторая неделя статей про всякие утечки, методички, RKNHardering, кто-то там что-то тестирует. А хоть кто-нибудь делал хоть малейший аудит RKNHardering? Автору на гитхабе без году неделя отроду и все тупо ставят это приложение. Откуда вообще такое доверие? Почему вы решили, что это приложение просто не собирает определённую информацию? Кстати тоже самое относится и к TeapodStream. ))
как думаете, какие еще неочевидные маркеры наличия VPN могут начать массово использовать для детекта в ближайшем будущем?
Например, пользователь цитирует "запрещенные" источники, недоступные без VPN. И вообще какой-то слишком умный.
Есть одна идея, которая потенциально может решить проблему с видимостью соединения хоста андроида из активного приложения в шелтере (Knox в Samsung, например). Два инстанса одного приложения, одно работает на хосте, второе в шелтере. И третий условный “сервер” на удаленном хосте (или какое-то логическое соединение между ними прямо внутри системы телефона). Если просыпается приложение в шелтере, то первый инстанс на хосте гасит активную сессию туннеля и наоборот, когда засыпает вся живность в шелтере, просыпается туннель. А если этот функционал и вовсе добавить в клиента квн, то будет здорово. Другой вопрос, можно ли из стороннего приложения с большой зеленой кнопкой вообще мониторить и управлять статусом шелтера и заставлять его уснуть, иначе придется это делать руками. Но, как минимум, можно не включать туннель, пока шелтер активен и сообщить об этом пользователю.
Karing - добавлена ручная авторизация (Add authorization settings for mixed type inbound connections(Settings-Mixed)), о чем упоминал автор той статьи на Хабре.
Throne -Add inbound authorization support в обновлении. Версии только для ПК.
v2rayN - В настройках: "Настройки" - "Настройки параметров" - "Ядро" - есть поля для ввода "имя пользователя (логин)" и "пароль аутентификации", но они не решают проблему из статьи. По отзывам.
Остальные пока нет.
Коллеги, а если реализовать такую схему: на европейском VPS с XRAY использовать несколько IP (один – для входящих подключений от клиентов или промежуточного российского VPS; второй – для выходного трафика). Если какое-то приложение сольёт в РКН внешний IP и РКН его заблокирует, то на работу системы это никак не повлияет, так как данный сервер находится за пределами России? Есть конечно риск, что под блокировку попадёт весь пул адресов хостера, но в остальном схема рабочая?
А зачем для выходного адреса использовать незаблокированный диапазон? Выход с заблокированного гораздо смешнее будет выглядеть + вероятный косяк со сбросом соединения детекторами (драсьте тспу, спасибо за качественную работу).
У меня так сделано. Купил сначала первый VPS за рубежом и он быстро улетел в блок/шейпинг. Потом подобрал второй, в другой подсети у другого хостера, проверяя с первого до второго самый минимальный пинг (часто до покупки дают тестовые ip для проверки пинга). Потом на втором VPS прокинул порт КВН через iptables на первый, где уже тусит сам VPN. Получилось типа RU_CLIENT -> EN_VPS2 -> EN_VPS1 -> WORLD. Теперь, даже если РКН увидит мой выходной ip первого vps и забанит его (а в моём случае он и так уже забанен), всё продолжит работать, т.к. трафик этого ip вращается целиком за рубежом между двумя VPS.
Но это не решает проблему, что РКН увидит что используется КВН. По идее, самое стремное что могут там придумать, допустим при детекте ВПН вводить режим БС для конкретного абонента. Ну а че, ОПСОСЫ могут же при нулевом балансе врубать для абонента доступ тока в личный кабинет, так и тут сделают, а при БС никакие маскировки не спасут, т.к. тупо до EN_VPS2 не достучишься.
Я больше скажу.
Тот факт, что протокол OpenVPN заблокирован для подключений вне РФ (хендшейк проходит, а трафик - нет), но прекрасно работает внутри РФ, что очень толсто намекает на.
Поэтому можно без изысков подключаться к VDS, расположенном внутри РФ, дальше он маршрутизирует трафик через туннель на сервер вне РФ. Profit!
Далее уже для перестраховки можно сделать второй VDS за рубежом и выходить в публичный интернет через него (как предложил https://habr.com/ru/articles/1022586/). Но по мне это лишнее.
Тогда уж и мое пиво подержите, друзья!
Тоже давно читаю весь этот околовпнный хайп. И предлагаю взглянуть на вопрос с чуть другой стороны.
Да, любое приложение на Андроиде (да и на IOS тоже) может детектировать (точнее, уверенно предположить) поднятый на устройстве впн. И даже сообщить «куда следует» ваш конечный IP. А что дальше?
Впн у нас в стране не под запретом. Поэтому важно исключить не возможность детектировать есть/нет у нас впн подключение, а как и для чего мы его используем. Или, юридическим языком, обходим мы с его помощью блокировки или нет. А вот здесь для РКН все ой как не гладко
Блокировки выявленного конечного IP по факту ничего им не дают. К примеру, мой голландский IP на прямое подключение заблочен уже почти месяц как, но и по сей день прекрасно трудится на каскаде, ибо межсерверный трафик РКН может блокировать только по принципу «сломаю пол-инета». Не пустят с включенным впн в аккредитованные приложения? Да и х… с ними. Выключу кнопку впн и зайду.
Понятно, что сейчас доступ к свободному Инету в РФ стал не просто «поставлю 3 хуи и весь мир открыт», а стал дороже и требует творчества и хотя бы 3 классов школы ИТ-инженера. Но для нашего русского ума это всего лишь легкая разминка.
Как краткий вывод, считаю, что сейчас надо направлять усилия не на поиск решения найдут «гос зловреды» впн или не найдут, а на то, чтобы впн работал несмотря ни на что и не отсвечивал «куда, как и для чего» мы его используем
Ну ты еще Конституцию вспомни
Им вообще плевать на юридический статус, они ломают связность чисто технически по площадям
... а на то, чтобы впн работал несмотря ни на что и не отсвечивал «куда, как и для чего» мы его используем
ну на самом деле впн работает (если не включены "белые списки" конечно), к примеру netbird и tailscale которые для создания локальной сети между устройствами через интернет используют wireguard vpn работают. По крайне мере до тех по пока вы не попробуете в локальную сеть пустить устройство из зарубежного сегмента интернета, точно работают.
Обратите внимание на строку запуска tun2socks: порт 45478 и забористые логин/пароль генерируются на лету при каждом старте соединения.
А через список процессов такое не палится?
Насколько понял по поведению на моих устройствах(Throne), логин/пароль нужен для запрета неавторизованных для приложения подключится к квн(тайно/не тайно, неважно.)и проверить есть квн или нет. Грубо говоря, тот же Wildberries не сможет этого сделать если вы ему явно запретите. Итого, квн у вас есть, до всей этой истории, при запрете квн у вас "нет."
Подозреваю скоро просто начнут замерять RTT до своих же CDN, и тут никакой рандомный порт не спасет
Здавствуйте. Скажите пожалуйста, почему virustotal находит вирусы в вашем приложении? Спасибо.
Вы расскажите) Можете собрать из исходников, сравнить с выложенными бинарниками
Я пенсионер и только сегодня зарегистрировался на этом сайте. Я ищу способ оживить Телеграм, у меня внуки заграницей живут.
Похоже единственный способ этого избежать - это использовать Firefox с плагином умного прокси и вручную галочки ставить напротив нужных сайтов. Вот только где найти приложение который превращает vless/что-то другое в локальный прокси, причем без создания tun
Нейросети говорят что это работает и даже картинку нарисовали как это переключается :)
Но имейте в виду что прокси открывается на 127.0.0.1:[ПОРТ] и если вы этот адрес-порт не заблокируете то вредоносный JS код с вредоносных страничек может его определить и найти куда он ведет. Для того чтобы этого не произошло, нужно создать специальные правила настройки прокси в браузере firefox.
Выглядит это примерно так:
в этом файле прописано примерно такое правило:
ну а все что не попадает под "if" то делать return "DIRECT";
Я имел ввиду, где найти такое приложение под Андроид. Http/socks прокси позволяют сделать авторизацию, но это похоже даже клиенты под Windows не умеют
Не надо url автомастерской настройки, браузеры не проксируют localhost, если он вообще нужен. Запись 0.0.0.0 не имеет смысла, он используется только для прослушивания адресов. Localhost тоже не имеет смысла он мгновенно решится в 127.0.0.1 из файла hosts. Что за нейронная сеть написала такую бредятину?
Вместо такой грубой настройки лучше использовать расширение Smart proxy https://addons.mozilla.org/ru/firefox/addon/smartproxy. И зачем это делать под детали, у вас что Я браузер стоит, что у вас там может шпионить?
Более того не сработает, потому что SYSTEM proxy, это значит, что все приложения, которые умеют видеть прокси, его видят и пытаются использовать
Есть ещё подход, простой до безобразия: поднимаем прокси, для всех приложений. Но одни сочетания логинов/паролей/ключей имеют точку выхода в белой зоне, а другие - в тех, где приложение будет работать и сервисы доступны.
Автору статьи +100500! Не стал ломать замок, просто открыл соседнюю дверь.
А почему XHTTP не поддерживается?
Благодарю за труд
но пользоваться нереально пока.
нет закрепленного уведомления - непонятно подключено приложение или нет и какое.
надо его как то искать через все приложения, запускать, смотреть оно ли включено.
@Wendor
Подскажите, куда копать. Есть пара рабочих профилей VLESS+Reality на самоподнятом КВН через 3X-UI. На v2rayNG они давно работают без проблем. В вашем клиенте, после импорта профиля, Teapod подключается, вх/исх трафик показывает, но при этом интернета на устройстве нет (Chrome ничего не открывает). Teapod v1.1.1, сплит-туннелирование выключено (все настройки по умолчанию). Логи:
[2026-04-15T15:45:59.350881] [INFO] Connecting to name (ip:443)
[2026-04-15T15:46:01.510627] [INFO] Starting VPN
[2026-04-15T15:46:01.511971] [INFO] Underlying network set: 741
[2026-04-15T15:46:01.512171] [INFO] nativeSetMaxFds result (parent): 0
[2026-04-15T15:46:01.513797] [INFO] TUN established
[2026-04-15T15:46:01.514424] [INFO] xray started
[2026-04-15T15:46:01.514582] [INFO] Excluded own UID (com.teapodstream.teapodstream): 10504
[2026-04-15T15:46:01.514720] [INFO] Starting teapod-tun2socks: mode=DENY_ONLY uids=1
[2026-04-15T15:46:01.514851] [INFO] teapod-tun2socks started successfully
[2026-04-15T15:46:01.515041] [INFO] VPN connected
[2026-04-15T15:46:01.515202] [INFO] VPN connected successfully
[2026-04-15T15:46:01.516928] [INFO] Network available: 741
[2026-04-15T15:46:01.518599] [INFO] Underlying network updated: 741
[2026-04-15T15:46:24.594643] [INFO] VPN disconnected
Сложно что-то сказать без конкретного конфига. Буду потихоньку пилить. Есть пара конфигов которые не заводятся, буду их чинить, авось ваше поднимется за компанию)
А будет ли возможность добавить поддержку hysteria2 ?
Попробуйте 1.3.2
Супер! Спасибо!!!
Только у меня непонятная проблема: клиент подключается, "KVN connected successfully" , но дальше тишина. DNS_PROBE_POSSIBLE или ERR_TIMED_OUT (если IP).
Тоже самое на некоторых клиентах. Например, v2rayNG старой версии v1.10.31 работает, а новых версий v2.0.x - тоже самое - соединяется и тишина.
Не подскажите, в чем может быть дело?
Пока они держат твое пиво, подержи мою бутылку вискаря: зачем вообще биндить сервис именно на 127.0.0.1? Ну сгенерируй рандомный 127.230.x.y и забинди на него.
Всё ещё держишь вискарь? Держи ещё мои вещества (просроченная аскорбинка): в ведре есть AF_UNIX прямо в API и, судя по всему, оно тоже умеет определять приложение-клиент. Добро пожаловать, детекторщики ВПНов сраные, милости просим.
Благодарю за проделанную работу, если будет время можете ещё порыться и прикрутить виджет для быстрого доступа из выпадающего меню где Wi fi и тд в андройдах, было бы очень удобно активировать и тд.
Ради интереса сделал тест
Озон - вы юзаете ВПН, поэтому - свободны
Вилбериз - обновите приложение (ха-ха...)
ЯМаркет - смотрите, но! вы - юзаете ВПН
Озон, как и Газпромбанк (но не Озон банк!), тупо смотрят в списке приложений заветные буквы. При этом ГБП сообщает и работает, а озон - не работает.
Поэтому у меня нет приложения OZON на смартфоне - OpenVPN у меня установлен для подключений к своим и клиентским локальным сетям, и озоновское глюкало просто не способно работать в таком окружении. А в магазин Озон никто не мешает зайти через браузер.
И что тестировали? Приложения? сайты? что в сплит тунель засунули? маршрутизацию включали?)
Наверное как-то не так понял статью. Я думал, что Ваше решение из коробки включается и не детектируется этими штуковинами. Поэтому я скачал, добавил ключ и запустил его и остальные программы
Но!
Изучил внимательнее - понравилось. Оч круто, что можно указать приложениям юзать его или нет. По сути - можно не выключать тогда даже.
Оч достойно!
Добрый день. Спасибо за приложение. Есть предложения и замечания. На гитхабе не буду открывать раз автор отвечает регулярно здесь:
Версия 1.3.3.
В v2raytun и других при добавлении конфига, в его названии на странице конфиг отображается сервисная информация от авторов конфига (сколько осталось дней, ссылка на оплату/продление и тд). В Вашем приложении отображается только название.
Когда я нажимаю во вкладке конфиги на другой сервер, то переключения между ними не происходит , название сервера лишь добавляется на стартовую страницу и приходится каждый раз нажимать кнопку Отключить/Подключить, чтобы переключиться между серверами, что неудобно.
Добавьте пожалуйста возможность проверки доступности конфигов как в v2raytun и happ, чтобы по одной кнопке было видно к каким серверам подключения нет/пинг не проходит.
Некоторые конфигурации добавляются с 0 серверов, например из этого бота:@biqwdqobot, хотя в других приложениях сервера есть. Кнопка обновить не помогает.
Добавьте пожалуйста на первый экран строчку IP адрес и страна, чтобы не нужно было всякий раз мотаться в ip info.
Спасибо
Добрый день! Подскажите, что ставить в настройках xray, только прокси(rknhardering говорит признаков нет), убираю галочку и тут же находит признаки.
Друзья добрый день, вопрос такой, к автору прекрасного приложения и к живым комментаторам которые разбираются в вопросе, КРАТКО: я журналист свободы, говорю то что не удобно тем кто эксплуатирует обычных людей и для меня анонимность ключ к тому что бы меня и мою семью не трогали эти люди при критических ударах по ним. Когда узнал что все VPN клиенты Xray на которые я ставил свой личный VPN дырявые из этой статьи https://habr.com/ru/articles/1020080/ , я немного выпал так как мне очень важно оставаться при публикациях нонейм. ВОПРОС - на данный момент приложение на githab - https://github.com/Wendor/teapod-stream решило проблему утечки реального местоположения (IP) или пока что нет решения что бы оставаться нонейм ?
Извините, кто-то кроме топикстартера может ответить по поводу настроек сабжа? Я уже попробовал по аналогии со своими настройками НекоБокса всё сделать - ноль результата. Неко работает, ТиподСтримс не работает. Что я делаю не так?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Критическая уязвимость VLESS клиентов? Подержите мое пиво…