文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

iCloud私人中继服务被曝泄露用户IP地址

2024-12-02 21:04

关注
[[425789]]

9月23日, iOS15测试版正式发布,其中iCloud Private Relay功能是通过采用双跳架构,有效地屏蔽用户的IP地址、位置和来自网站、网络服务提供商的DNS请求,从而提高网络上的隐蔽性。

通过将用户在Safari浏览器上的互联网流量通过两个路由进行代理,以掩盖浏览和数据的来源,这可以被视为简化版的Tor(浏览器)。


FingerprintJS(浏览器指纹库)研究员Mostsevenko称:如果从服务器收到的HTTP请求中读取 IP 地址,能够获得出口代理的IP地址,也可以直接通过 WebRTC 获取真实的客户端IP。

WebRTC 是 Web Real-Time Communication 的缩写,是一项开源计划,旨在通过API,为Web浏览器和移动应用程序提供实时通信,这些API支持点对点音频和视频通信,且无需安装专用插件或应用。

两个端点之间实时媒体交换,通过信号传递的发现并建立协商过程,该过程使用交互式连接建立 (ICE) 框架,该框架详细说明了两个对等端可以使用的方法(又名candidates),无论网络拓扑如何,都可以相互查找并建立连接。

FingerprintJS发现的漏洞与“服务器反射候选”的特定candidates有关,当来自端点的数据需要通过 NAT(网络地址转换器)传输时,STUN 服务器会生成candidates。 STUN(即 NAT 会话遍历实用程序)是一种用于检索位于 NAT 后面IP 地址和端口号的工具。

具体来讲,该漏洞源于此类STUN请求未通过 iCloud Private Relay 进行代理,导致在信号传递过程中交换 ICE candidates时暴露客户端的真实 IP 地址。

[[425790]]

FingerprintJS表示已经这个问题反馈给苹果公司,苹果已经在最新的macOS Monterey测试版中推出了修复程序。 但在iOS 15上使用 Cloud Private Relay 时,泄露问题仍未修复。

漏洞事件表明 iCloud Private Relay 永远无法替代虚拟专用网,担心IP地址泄露的用户应该使用真正的虚拟专用网或通过Tor网络浏览互联网,并完全禁用Safari浏览器的JavaScript,关闭WebRTC相关功能。

 

来源:FreeBuf内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯