И тем же способом (https://claude.ai/) проверяем v2rayNG !!! Давай посмотрим на ключевые части кода — как генерируется конфиг xray и есть ли там что-то подозрительное.Отлично, я вижу реальный исходный код главного файла конфигурации. Разбираю по пунктам.
Что я нашёл в коде V2rayConfigUtil.kt
✅ HandlerService — отсутствует полностью
Ни одного упоминания HandlerService, api, APIService нет. Xray API не включается. Это принципиальное отличие от Happ.
В функции inbounds() явно написано: если пользователь не включил "proxy sharing", то curInbound.listen = "127.0.0.1". То есть по умолчанию порт слушает только на локалхосте, не на всех интерфейсах.
Это хорошо — внешние устройства в сети не достучатся. Но проблема loopback внутри телефона остаётся — другие приложения на том же устройстве всё равно могут подключиться к 127.0.0.1:10808.
⚠️ socks5 без пароля — уязвимость из статьи подтверждается
Порт socks5 выставляется как v2rayConfig.inbounds[0].port = 10808 — без какой-либо авторизации. Это та самая уязвимость из статьи на Habr. Яндекс/MAX/Ozon могут подключиться к этому порту и узнать твой выходной IP.
✅ Никакой телеметрии, никаких внешних запросов
Весь код читает конфиг из локального хранилища MMKV и генерирует JSON для xray-core. Нет ни одного HTTP-запроса, нет отправки данных куда-либо.
✅ Маршрутизация прозрачная
Функция routing() строит правила маршрутизации на основе настроек пользователя — режимы 1, 2, 3 соответствуют "только private", "bypass CN", "private + bypass CN". Всё это локальная логика, ничего скрытого.
Итог проверки кода
Проверка Результат HandlerService / xray API ✅ Отсутствует socks5 на localhost ✅ Да, по умолчанию socks5 без пароля ⚠️ Да — общая уязвимость Телеметрия / отправка данных ✅ Не найдена Скрытые запросы ✅ Не найдены Яндекс.Диск или сторонние CDN ✅ Отсутствуют
v2rayNG чистый. Единственная проблема — та самая архитектурная уязвимость socks5 без пароля, которая есть у всех xray-клиентов. Но это открытая известная проблема, а не бэкдор.
В связи с публикацией на Habr.com статьи, содержащей ряд неточных и преувеличенных утверждений, официально сообщаем:
✅ HandlerService полностью удалён
Обновление уже отправлено на модерацию в Google Play и App Store.
К сведению: Сервис использовался исключительно в устаревших share-link подписках. После перехода большинства пользователей на JSON-подписки он остался в кодовой базе.
Меры были приняты, виновные лица наказаны.
✅ Реализована генерация пароля для SOCKS5 inbound непосредственно из ядра
iOS По-прежнему имеет архитектурные ограничения операционной системы
Для обычных пользователей: Ничего страшного не произошло. Ваши данные и трафик были и остаются в безопасности. Обновите приложение сразу после появления новой версии.
Для владельцев VPN-сервисов:
Команда Happ всегда ставила и ставит безопасность конечного пользователя на первое место, и сегодняшний день это в очередной раз повторил.
Мы и разработчики xray-core продолжаем делать всё возможное для максимальной защиты конечного пользователей.
Напоминаем, что безопасность ваших пользователей - это также и ваша зона ответственности: используйте безопасные протоколы, грамотный роутинг, защищённую инфраструктуру и принимайте все возможные меры.
Мы все делаем одну большую работу - помогаем людям оставаться свободными в интернете.
Релиз 3.16.2 существует — выпущен 7 апреля (вчера). Это факт.
Но есть серьёзная проблема. Единственный коммит в этом релизе называется "update add yandex link" — и он меняет только файл README.md, добавляя ссылки на Яндекс.Диск для скачивания файлов.
Описание релиза на странице говорит "Remove HandlerService from services" — но сам коммит этого не делает. Коммит трогает только README.
Это значит одно из двух:
Либо удаление HandlerService было в предыдущем коммите (0f68084), который является родителем этого — и его я не смог проверить напрямую
Либо описание релиза и реальный код не совпадают
Отдельный тревожный сигнал
APK для Android теперь также раздаётся через Яндекс.Диск — это новая ссылка добавлена в README именно этим коммитом.
Это плохая практика для приложения, которое позиционирует себя как инструмент защиты от слежки:
Яндекс.Диск — российский сервис под контролем Минцифры
Скачанный оттуда APK невозможно верифицировать так же, как релиз на GitHub
Подпись APK с Яндекс.Диска может отличаться от оригинала
Итог
Утверждение Happ Подтверждено кодом? HandlerService удалён ❓ Не видно в проверенном коммите
socks5 с паролем ❓ Не видно в коде
Приложение безопасно ⚠️ APK теперь на Яндекс.Диске
Если хочешь реально убедиться — единственный способ это установить v2rayNG (он полностью открытый и проверенный сообществом) вместо Happ. Happ так и не заслужил доверия прозрачными действиями.
В файле 1_russia_blacklist.cmd → В строке start "" goodbyedpi.exe меняем значение -5 В Chrome : Настройки → Конфиденциальность и безопасность → Раздел Дополнительные → Выбрать поставщика услуг DNS → Google (Public DNS)
sensor:
- platform: adc
pin: A0
attenuation: auto #Затухание сигнала (чтобы так сильно не шумели показания) 11dB
filters:
- calibrate_linear: #Линейное преобразование показаний
- 0.485 -> 0 #Минимальные значения (Вольт) с датчика в мин значение того что отображать - Обязательно сдалать замеры напряжения мультиметром
- 4.5 -> 5.0 #Максимальные значения (Вольт) с датчика в макс значение того что отображать - Обязательно сдалать замеры напряжения мультиметром
- lambda: |-
if (x <= 0){
return 0;
} else {
return x;}
accuracy_decimals: 1 # Количество нулей после запятой в отображении HA
name: "Давление" #отображении HA
unit_of_measurement: "Bar" #отображении HA
update_interval: 1s
icon: "mdi:gauge"
Если есть замечания прошу не стесняйтесь в подсказках. Если есть кто то кто может подсказать как работают фильтры - sliding_window_moving_average, median или exponential_moving_average.
NeboAir. Персональная станция мониторинга воздуха Цена --------> 12к
Жаль что не пишут о том что для устройства желательно делать козырёк или что-то подобное, для защиты от погодных воздействий. (Хотя отдел маркетинга не пропустит такое, купить устройство и дорабатывать его )
В коробке
USB-кабель, набор для крепления, блок питания
Загрязняющие вещества:PM1, PM2.5, PM10
Температура, влажность, давление
Подключение: WiFi, Bluetooth
Дисплей: LED
Питание: USB 5V 3A
Использование: Уличное IP - рейтинг: IP54
Размер и вес
Высота: 150 мм Ширина: 80 мм Глубина: 30 мм Вес: 300 г
За эту цену мог бы жить внутри ESP32 и батарея.
Ну и главный минус, отсутствие датчика CO2. Тогда можно было бы использовать дома.
И тем же способом (https://claude.ai/) проверяем v2rayNG !!!
Давай посмотрим на ключевые части кода — как генерируется конфиг xray и есть ли там что-то подозрительное.Отлично, я вижу реальный исходный код главного файла конфигурации. Разбираю по пунктам.
Что я нашёл в коде V2rayConfigUtil.kt
✅ HandlerService — отсутствует полностью
Ни одного упоминания
HandlerService,api,APIServiceнет. Xray API не включается. Это принципиальное отличие от Happ.✅ socks5 привязан к localhost
В функции
inbounds()явно написано: если пользователь не включил "proxy sharing", тоcurInbound.listen = "127.0.0.1". То есть по умолчанию порт слушает только на локалхосте, не на всех интерфейсах.Это хорошо — внешние устройства в сети не достучатся. Но проблема loopback внутри телефона остаётся — другие приложения на том же устройстве всё равно могут подключиться к
127.0.0.1:10808.⚠️ socks5 без пароля — уязвимость из статьи подтверждается
Порт socks5 выставляется как
v2rayConfig.inbounds[0].port = 10808— без какой-либо авторизации. Это та самая уязвимость из статьи на Habr. Яндекс/MAX/Ozon могут подключиться к этому порту и узнать твой выходной IP.✅ Никакой телеметрии, никаких внешних запросов
Весь код читает конфиг из локального хранилища MMKV и генерирует JSON для xray-core. Нет ни одного HTTP-запроса, нет отправки данных куда-либо.
✅ Маршрутизация прозрачная
Функция
routing()строит правила маршрутизации на основе настроек пользователя — режимы 1, 2, 3 соответствуют "только private", "bypass CN", "private + bypass CN". Всё это локальная логика, ничего скрытого.Итог проверки кода
Проверка Результат HandlerService / xray API ✅ Отсутствует socks5 на localhost ✅ Да, по умолчанию socks5 без пароля ⚠️ Да — общая уязвимость Телеметрия / отправка данных ✅ Не найдена Скрытые запросы ✅ Не найдены Яндекс.Диск или сторонние CDN ✅ Отсутствуют
v2rayNG чистый. Единственная проблема — та самая архитектурная уязвимость socks5 без пароля, которая есть у всех xray-клиентов. Но это открытая известная проблема, а не бэкдор.
В связи с публикацией на Habr.com статьи, содержащей ряд неточных и преувеличенных утверждений, официально сообщаем:
✅ HandlerService полностью удалён
Обновление уже отправлено на модерацию в Google Play и App Store.
К сведению: Сервис использовался исключительно в устаревших share-link подписках. После перехода большинства пользователей на JSON-подписки он остался в кодовой базе.
Меры были приняты, виновные лица наказаны.
✅ Реализована генерация пароля для SOCKS5 inbound непосредственно из ядра
iOS По-прежнему имеет архитектурные ограничения операционной системы
✅ Android-версия уже доступна • GitHub: 3.16.2 (https://github.com/Happ-proxy/happ-android/releases/tag/3.16.2) • Google Play и App Store — билды находятся в очереди на проверку. Как только обновления пройдут модерацию, сообщение будет дополнено.
Для обычных пользователей: Ничего страшного не произошло. Ваши данные и трафик были и остаются в безопасности. Обновите приложение сразу после появления новой версии.
Для владельцев VPN-сервисов:
Команда Happ всегда ставила и ставит безопасность конечного пользователя на первое место, и сегодняшний день это в очередной раз повторил.
Мы и разработчики xray-core продолжаем делать всё возможное для максимальной защиты конечного пользователей.
Напоминаем, что безопасность ваших пользователей - это также и ваша зона ответственности: используйте безопасные протоколы, грамотный роутинг, защищённую инфраструктуру и принимайте все возможные меры.
Мы все делаем одну большую работу - помогаем людям оставаться свободными в интернете.
С уважением, Happ
Проверяем с помощью https://claude.ai/:
Вот что я реально нашёл в коде — и это важно.
Что показывает GitHub
Релиз 3.16.2 существует — выпущен 7 апреля (вчера). Это факт.
Но есть серьёзная проблема. Единственный коммит в этом релизе называется
"update add yandex link"— и он меняет только файлREADME.md, добавляя ссылки на Яндекс.Диск для скачивания файлов.Описание релиза на странице говорит
"Remove HandlerService from services"— но сам коммит этого не делает. Коммит трогает только README.Это значит одно из двух:
Либо удаление HandlerService было в предыдущем коммите (
0f68084), который является родителем этого — и его я не смог проверить напрямуюЛибо описание релиза и реальный код не совпадают
Отдельный тревожный сигнал
APK для Android теперь также раздаётся через Яндекс.Диск — это новая ссылка добавлена в README именно этим коммитом.
Это плохая практика для приложения, которое позиционирует себя как инструмент защиты от слежки:
Яндекс.Диск — российский сервис под контролем Минцифры
Скачанный оттуда APK невозможно верифицировать так же, как релиз на GitHub
Подпись APK с Яндекс.Диска может отличаться от оригинала
Итог
Утверждение Happ Подтверждено кодом? HandlerService удалён ❓ Не видно в проверенном коммите
socks5 с паролем ❓ Не видно в коде
Приложение безопасно ⚠️ APK теперь на Яндекс.Диске
Если хочешь реально убедиться — единственный способ это установить v2rayNG (он полностью открытый и проверенный сообществом) вместо Happ. Happ так и не заслужил доверия прозрачными действиями.
Туда бы ещё запихнуть Bluetooth 6го поколения или UWB. И вообще супер было б.
Краснодар - Билайн = помог первый способ
-1 --reverse-frag - Краснодар Билайн работает
В файле 1_russia_blacklist.cmd → В строке start "" goodbyedpi.exe меняем значение -5
В Chrome : Настройки → Конфиденциальность и безопасность → Раздел Дополнительные → Выбрать поставщика услуг DNS → Google (Public DNS)
Мне помогло, YouTube грузится очень быстро!
Странно, не отобразились картинки!
Так я добавил себе датчик давления воды
Если есть замечания прошу не стесняйтесь в подсказках.
Если есть кто то кто может подсказать как работают фильтры - sliding_window_moving_average,
median или exponential_moving_average.Есть такой же но для использования внутри с датчиком (нормальным) CO2?
NeboAir. Персональная станция мониторинга воздуха Цена --------> 12к
Жаль что не пишут о том что для устройства желательно делать козырёк или что-то подобное, для защиты от погодных воздействий. (Хотя отдел маркетинга не пропустит такое, купить устройство и дорабатывать его )
В коробке
USB-кабель, набор для крепления, блок питания
Загрязняющие вещества: PM1, PM2.5, PM10
Температура, влажность, давление
Подключение: WiFi, Bluetooth
Дисплей: LED
Питание: USB 5V 3A
Использование: Уличное IP - рейтинг: IP54
Размер и вес
Высота: 150 мм Ширина: 80 мм Глубина: 30 мм Вес: 300 г
За эту цену мог бы жить внутри ESP32 и батарея.
Ну и главный минус, отсутствие датчика CO2. Тогда можно было бы использовать дома.