Критическую уязвимость, ебать-мой-хуй-так-на-секундочку, человек нашел
Есть кстати некая ирония в том, что именно я сейчас сарказмом тут швыряюсь по этой теме.
Потому что все это, конечно, никакая не критическая и вообще с натяжкой уязвимость. Давайте сразу определимся, чтоб сиськи долго не мять:
📍для 99% людей, использующих эти влесс-клиенты, это не меняет вообще ничего и не угрожает вообще ничем
📍есть некий условный гипотетический риск для впн-сервисов (т.е. для нас вот например), но этот риск и так уже давно реализован, он уже случился, спасибо за беспокойство, конечно, но мертвому припарками не поможешь
📍а вот сука блядь конкретно для владельцев беспаликов - это да, это уязвимость.
Бывает же😁 И - ирония.
Не сказал бы, что критическая, вряд ли ее ктото успел проэксплуатировать, и конечно же я сейчас покажу как это вылечить раз и навсегда для любого влесс-клиента.
Но тем не менее. Попал этот парень метко, прям в нас-параноиков, молодец, вот щас вообще без иронии.
Но к нам вернемся в конце, для начала пройдемся общим планом.
❓В чем собственно уязвимость?
гарантированно обнаруживать выходной ip
Если в 2 словах (и для 99% упомянутых пользователей), то на этом все.
Если не поняли: приложение, которое стоит у вас в телефоне, может (вы только вдумайтесь😲) узнать ваш выходной ип. Тот ип адрес, с которого вы выходите в мир, сидя на впне. Т.е. тот ип адрес, С КОТОРОГО ВЫ ИДЕТЕ В ЭТО ПРИЛОЖЕНИЕ, собственно говоря. Например, вот телеграм может узнать выходной ип моего впна, на котором я сижу и С КОТОРОГО К НЕМУ ПРИШЕЛ. Или браузер это может узнать, или вотсап, или госуслуги (свят-свят-свят☦️).
Ммм.. ну так я и ставлю впн, для того, чтобы эти приложения видели этот ип адрес😁 В этом как бы и смысл.
==
Ну лан, если отставить шутки в сторону, то в том, что этот парень обнаружил, есть некое здравое техническое зерно. Оно по прежнему не угрожает 99% пользователей, и оно весьма иллюзорно угрожает впн-сервисам, ркн уже давно и плотно палит нас и так. Они пасут всю сеть в ру, ребят, ну хорош😁
С учетом того, что 99% впнов - это одинарные сервера, все ип адреса можно спалить и на входе (что во многом успешно делается), без этих заморочек с поиском выхода.
Но с другой стороны - да, они наверняка себе уже это добавили в чек-лист и будут грузить разработчиков ру-приложений, чтобы они и так тоже искали впны. Тут спорить с автором не стану, этот риск существует и наверное уже реализуется в новых версиях всяких ру-приложений.
А потому что не надо это говно себе ставить на телефон. Виртуалки, ребят. Виртуалки. А любое ру-приложение - это и так мусор в кармане, я об этом писал всю свою публичную дорогу, полистайте старый канал.
==
Теперь
Перед тем как перейти к техническим деталям/нам-параноикам/лечению итд, давайте немного подытожим риски этой уязвимости
📍Для 99% пользователей:
❔Факт использования впна - да, даже если отключить раздельно впн для условных госуслуг (split/per-app), они все равно увидят, что вы юзаете впн и +увидят выходной ип адрес. Если выключить впн полностью - не увидят ничего через эту уязвимость.
❗️Но впн можно в целом обнаружить и простым сканом установленных приложений/сетевых интерфейсов/системных сервисов (и яблоко вас тут не спасет если что😁😁 а то понапишут всякого). Правда без выходного ип адреса, но юзеру в целом какая разница. Когда и если в ру начнут ебать за впн по взрослому, то неужто им не хватит, например, самого факта наличия такого приложения в телефоне? Мы же тут все взрослые мальчики и девочки, надеюсь, иллюзий не питаем: им хватит анонимного сообщения о совершенном "преступлении".
✅При этом ни узнать ваш реальный ип, ни тем более расшифровать траф через эту "уязвимость", конечно, нельзя. Уж не знаю про какую именно xray-дырку автор там понапустил туману, но чет я еще ни разу в жизни не слыхал, чтобы ктото расшифровал траф с помощью ПУБЛИЧНОГО ключа. Успехов, хули😁 Это был бы интересный мир, конечно, шальной. Но скоротечный.
==
📍Для впн-сервисов:
🤷♂️семьсотдвадцатьдевятый способ спалить наши сервера, что для них уже давно и так не бином ньютона нихуя
