《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > iOS 15 iCloud的新功能漏洞泄露用戶真實IP地址

iOS 15 iCloud的新功能漏洞泄露用戶真實IP地址

2021-09-28
來源:嘶吼專業(yè)版
關(guān)鍵詞: iOS 漏洞 IP

  蘋果iOS 15中引入的iCloud private relay服務(wù)漏洞致使用戶真實IP地址泄露。

  iCloud Private Relay服務(wù)是蘋果iOS 15 測試版中引入的新功能,可以讓用戶通過Safari瀏覽器以一種更加安全和隱私的方式來瀏覽器網(wǎng)絡(luò),。該服務(wù)確保離開設(shè)備的流量是加密的,,分別使用2個互聯(lián)網(wǎng)中繼讓用戶可以不使用真實的IP地址和位置來瀏覽網(wǎng)絡(luò)。

  使用iCloud Private Relay的客戶端IP地址泄露

  FingerprintJS安全研究人員發(fā)現(xiàn),,用戶通過服務(wù)器收到的HTTP請求,,就可以獲取代理的IP地址,。也可以通過webRTC來獲取客戶端的真實IP 地址,。WebRTC(web實時通信)是一個開源計劃旨在通過API來提供實時通信的web瀏覽器和移動應(yīng)用,,可以在無需安裝插件或APP的情況下實現(xiàn)點對點音視頻通信。

  兩個終端之間的實時媒體信息交換是通過一個名為signaling的發(fā)現(xiàn)和協(xié)商過程來建立的,,signaling中使用了一個名為interactive connectivity establishment(ICE,,交互式連接創(chuàng)建)的框架,該框架中有2個方法可以用來找到和建立連接,。

  FingerprintJS研究人員發(fā)現(xiàn)數(shù)據(jù)需要在終端之間NAT(網(wǎng)絡(luò)地址翻譯)協(xié)議進行傳播時,,STUN服務(wù)器會生成一個“Server Reflexive Candidate”。STUN是用來提取NAT背后的網(wǎng)絡(luò)設(shè)備的公網(wǎng)IP地址和端口號的工具,。

  漏洞源于STUN請求并不是通過iCloud Private Relay來代理的,,會引發(fā)signaling過程中ICE candidate交換時客戶端的真實IP地址暴露。

  FingerprintJS稱已經(jīng)向蘋果公司報告了該安全漏洞,,蘋果公司已經(jīng)在最新版本的macOS Monterey修復(fù)了該漏洞,。但在使用iCloud Private Relay的iOS 15系統(tǒng)中仍然沒有修復(fù)。

  這一問題表明,,iCloud Private Relay并不能取代VPN,,想要隱藏真實IP地址的用戶還是應(yīng)該考慮使用VPN或通過Tor來瀏覽互聯(lián)網(wǎng),并在使用Safari瀏覽器時就用JS來關(guān)閉WebRTC相關(guān)的特征,。

  



電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]