完美的隐私(PP)发现了一个严重的安全缺陷,可以揭示VPN(虚拟专用网络)用户的真实IP地址,并且该问题可能会影响所有VPN协议,例如IPSEC,PPTP和OpenVPN以及操作系统。
VPN用于掩盖个人的IP地址,但根据PP的说法,它发现了可以在没有太多困难的情况下绕过的脆弱性。
该问题涉及一个港口的技巧,在该技巧上,与受害者可以在特定端口上转发流量相同的VPN上的攻击者,暴露了后者的真实IP地址。无论受害人是否激活港口转发,他仍然容易受到攻击者的入侵。
“我们已经发现了许多提供商中的脆弱性,使攻击者能够公开受害者的真实IP地址。'端口失败'会影响提供端口转发的VPN提供商,并且对这种特定攻击没有任何保护,” VPN提供者说,强调“完美的隐私使用者受到此攻击的保护”。
为了进行攻击,攻击者必须将端口转发为与受害者在同一网络上的帐户中激活端口。然后,他将不得不以某种方式让受害者访问一个链接,该链接将流量带到他控制的港口。
PP对著名的VPN提供商进行了测试,其中九分之五的人容易受到攻击。 VPN提供商在公开披露危险之前已通知他们。
被警告后,私人互联网访问(PIA)告诉它立即进行了简单的修复。
PIA的Pia的Amir Malik说:“我们在VPN服务器级别实施了防火墙规则,以阻止客户端的真实IP地址访问转发端口的访问。该修复程序在初始报告的12小时内部署在我们所有服务器上。”
结果,PIA感谢PP在公开问题之前负责任地通知其他VPN提供商,这是其WhiteHat Alert Security Security计划的一部分,奖励PP 5,000美元。
PP仅在几个,不是全部VPN提供商上测试了漏洞,这意味着其中一些人可能仍需要尽快为此安全缺陷实施修复程序。
