《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > iOS 15 iCloud的新功能漏洞泄露用户真实IP地址

iOS 15 iCloud的新功能漏洞泄露用户真实IP地址

2021-09-28
来源:嘶吼专业版
关键词: iOS 漏洞 IP

  苹果iOS 15中引入的iCloud private relay服务漏洞致使用户真实IP地址泄露。

  iCloud Private Relay服务是苹果iOS 15 测试版中引入的新功能,可以让用户通过Safari浏览器以一种更加安全和隐私的方式来浏览器网络。该服务确保离开设备的流量是加密的,分别使用2个互联网中继让用户可以不使用真实的IP地址和位置来浏览网络。

  使用iCloud Private Relay的客户端IP地址泄露

  FingerprintJS安全研究人员发现,用户通过服务器收到的HTTP请求,就可以获取代理的IP地址。也可以通过webRTC来获取客户端的真实IP 地址。WebRTC(web实时通信)是一个开源计划旨在通过API来提供实时通信的web浏览器和移动应用,可以在无需安装插件或APP的情况下实现点对点音视频通信。

  两个终端之间的实时媒体信息交换是通过一个名为signaling的发现和协商过程来建立的,signaling中使用了一个名为interactive connectivity establishment(ICE,交互式连接创建)的框架,该框架中有2个方法可以用来找到和建立连接。

  FingerprintJS研究人员发现数据需要在终端之间NAT(网络地址翻译)协议进行传播时,STUN服务器会生成一个“Server Reflexive Candidate”。STUN是用来提取NAT背后的网络设备的公网IP地址和端口号的工具。

  漏洞源于STUN请求并不是通过iCloud Private Relay来代理的,会引发signaling过程中ICE candidate交换时客户端的真实IP地址暴露。

  FingerprintJS称已经向苹果公司报告了该安全漏洞,苹果公司已经在最新版本的macOS Monterey修复了该漏洞。但在使用iCloud Private Relay的iOS 15系统中仍然没有修复。

  这一问题表明,iCloud Private Relay并不能取代VPN,想要隐藏真实IP地址的用户还是应该考虑使用VPN或通过Tor来浏览互联网,并在使用Safari浏览器时就用JS来关闭WebRTC相关的特征。

  



电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。