端口失敗VPN安全漏洞暴露您的真實(shí)IP地址

在虛擬專用網(wǎng)絡(luò)(VPN)使用的協(xié)議中發(fā)現(xiàn)的漏洞允許攻擊者公開預(yù)期受害者的真實(shí)IP地址。

在本周由VPN提供商完美隱私發(fā)布的安全咨詢中，該公司表示，這個(gè)被稱為"端口故障，"的漏洞會(huì)影響提供端口轉(zhuǎn)發(fā)的VPN提供商，并且沒有保護(hù)IP泄漏。

VPN被全世界的隱私意識(shí)所使用，并通過偽裝一個(gè)人的真實(shí)位置來規(guī)避基于地理位置的內(nèi)容限制。在那些用鐵腕控制互聯(lián)網(wǎng)接入的，VPN也是繞過審查制度的一種方式。使用也增加了后斯諾登，因?yàn)槲覀冎懈嗟娜爽F(xiàn)在擔(dān)心誰可能跟蹤我們的在線活動(dòng)。

當(dāng)然，一個(gè)安全缺陷會(huì)使我們真正的IP地址打開，讓所有人都能看到VPN的目的，完美的隱私所暴露的漏洞對(duì)于不知道該漏洞的VPN提供商來說可能是危險(xiǎn)的。

VPN提供商保護(hù)自己的網(wǎng)絡(luò)免受利用該漏洞的攻擊，它說有幾個(gè)步驟可以執(zhí)行成功的攻擊。

攻擊者需要有一個(gè)與受害者相同的VPN提供者的活動(dòng)帳戶，還必須知道受害者的VPN退出IP地址，可以通過洪流客戶端或通過引誘受害者訪問惡意頁面獲得，并且必須設(shè)置端口轉(zhuǎn)發(fā)。受害者是否也有端口轉(zhuǎn)發(fā)（將流量重路由到不同的地址）活動(dòng)與此無關(guān)。

然后，黑客連接到與受害者相同的服務(wù)器網(wǎng)關(guān)，激活端口轉(zhuǎn)發(fā)，并等待直到受害者訪問惡意網(wǎng)站地址，在那里他們的真實(shí)IP可以被刮擦。

"這里的關(guān)鍵問題是連接到他自己的VPN服務(wù)器的VPN用戶將使用他的默認(rèn)路由和他的真實(shí)IP地址,因?yàn)檫@對(duì)于VPN連接工作是必需的,"說。

"如果另一個(gè)用戶(攻擊者)在同一服務(wù)器上為其帳戶啟用了端口轉(zhuǎn)發(fā)，則他可以通過欺騙他訪問將該流量重定向到其控制下的端口的鏈接來找出同一VPN服務(wù)器上任何用戶的真實(shí)IP地址。"

根據(jù)完美隱私，由于攻擊的性質(zhì)，所有VPN協(xié)議--如IPSec、OpenVPN和PPTP--以及所有操作系統(tǒng)都受到影響。

VPN提供商通過9個(gè)提供端口轉(zhuǎn)發(fā)的VPN提供商測試了該漏洞?？偣灿?人易受攻擊，其中包括私人互聯(lián)網(wǎng)接入(PIA)、O.to和nVPN，它們?cè)诠_披露之前得到通知，并已解決了這一問題。然而，完美的隱私懷疑更多的公司受到影響。

PIA獲得了完美的隱私，為披露提供了5,000美元的錯(cuò)誤獎(jiǎng)金。