完美的隱私(PP)發現了一個嚴重的安全缺陷,可以揭示VPN(虛擬專用網絡)用戶的真實IP地址,並且該問題可能會影響所有VPN協議,例如IPSEC,PPTP和OpenVPN以及操作系統。
VPN用於掩蓋個人的IP地址,但根據PP的說法,它發現了可以在沒有太多困難的情況下繞過的脆弱性。
該問題涉及一個港口的技巧,在該技巧上,與受害者可以在特定端口上轉發流量相同的VPN上的攻擊者,暴露了後者的真實IP地址。無論受害人是否激活港口轉發,他仍然容易受到攻擊者的入侵。
“我們已經發現了許多提供商中的脆弱性,使攻擊者能夠公開受害者的真實IP地址。'端口失敗'會影響提供端口轉發的VPN提供商,並且對這種特定攻擊沒有任何保護,” VPN提供者說,強調“完美的隱私使用者受到此攻擊的保護”。
為了進行攻擊,攻擊者必須將端口轉發為與受害者在同一網絡上的帳戶中激活端口。然後,他將不得不以某種方式讓受害者訪問一個鏈接,該鏈接將流量帶到他控制的港口。
PP對著名的VPN提供商進行了測試,其中九分之五的人容易受到攻擊。 VPN提供商在公開披露危險之前已通知他們。
被警告後,私人互聯網訪問(PIA)告訴它立即進行了簡單的修復。
PIA的Pia的Amir Malik說:“我們在VPN服務器級別實施了防火牆規則,以阻止客戶端的真實IP地址訪問轉發端口的訪問。該修復程序在初始報告的12小時內部署在我們所有服務器上。”
結果,PIA感謝PP在公開問題之前負責任地通知其他VPN提供商,這是其WhiteHat Alert Security Security計劃的一部分,獎勵PP 5,000美元。
PP僅在幾個,不是全部VPN提供商上測試了漏洞,這意味著其中一些人可能仍需要盡快為此安全缺陷實施修復程序。
