商用VPN服務一向以隱私性和匿名性著稱。口號雖然喊的美,但事實并非如此。倫敦瑪麗女王學院和羅馬大學的研究人員表明,大多數使用VPN服務的用戶很容易遭受DNS劫持從而泄露IP信息。
大多數VPN服務商缺乏IPv6數據保護
研究人員搭建了一個測試環境,分析了其基礎架構和14個最流行的商用VPN服務商的隧道技術,服務商包括IPVanish、StrongVPN、Astrill、ExpressVPN。測試結果表明,有10家服務商存在IPv6數據泄露的風險。除此之外,研究人員還發現有13家VPN服務商存在IPv6 DNS劫持攻擊的風險。
上面圖片來源為他們的分析報告:《VPN的杯中窺事:商業VPN客戶端的IPv6的泄露和DNS劫持》
漏洞風險細節
分析報告中指出:
“我們的工作開始只是一般性探索,但我們很快發現一個嚴重問題,IPv6的流量數據泄露在大多數VPN服務商中是非常普遍的。
在許多情況下,我們發現客戶端的IPv6流量數據在原生接口就被全部泄露了。”
研究人員稱,強烈的探索欲讓他們后來又發現了兩種DNS劫持攻擊,黑客由此可以直接獲取受害者的全部流量。
他們補充道:
“這個的漏洞產生的原因是因為所有的VPN使用的都是IPv4路由表,他們往往會忽略IPv6路由表。IPv6流量數據重定向進入隧道時,并沒有添加任何規則。這會導致IPv6流量數據不走VPN虛擬接口那條通道。”
研究意義與推廣
幾年前這其實并不是一個嚴重的問題,但現在隨著IPv6使用量的加大,他們研究所得可能會成為一個普遍性風險。但由于當今VPN服務的大部分用戶是非專業人士,這就使得他們很難去宣傳VPN存在的安全風險,同時也會受到相關利益廠商的阻礙。”
更多擁有隱私意識的客戶可能會支持VPN服務商采取積極主動的措施,爭取對VPN服務和客戶端進行安全加固。
京公網安備 11010502049343號