Dịch vụ iCloud Private Relay mới của Apple rò rỉ địa chỉ IP của người dùng

www.tuoitre.vn -   24/09/2021 08:00:00 1429

Một điểm yếu mới chưa được khắc phục trong tính năng iCloud Private Relay của Apple có thể bị tấn công để làm rò rỉ địa chỉ IP thực của người dùng từ các thiết bị iOS chạy phiên bản mới nhất của hệ điều hành.

Dịch vụ iCloud Private Relay mới của Apple rò rỉ địa chỉ IP của người dùng

Được giới thiệu dưới dạng bản beta với iOS 15, được phát hành chính thức vào tuần này, iCloud Private Relay nhằm mục đích cải thiện tính ẩn danh trên web bằng cách sử dụng kiến trúc dual-hop bảo vệ hiệu quả các yêu cầu địa chỉ IP, vị trí và DNS của người dùng từ các trang web và dịch vụ mạng. các nhà cung cấp.

Nó đạt được điều này bằng cách định tuyến lưu lượng truy cập internet của người dùng trên trình duyệt Safari thông qua hai proxy để che giấu ai đang duyệt và dữ liệu đó đến từ đâu trong những gì có thể được xem như một phiên bản đơn giản của Tor.

Tuy nhiên, tính năng này chỉ khả dụng cho người đăng ký iCloud + chạy iOS 15 hoặc macOS 12 Monterey trở lên.

"Nếu bạn đọc địa chỉ IP từ một yêu cầu HTTP mà máy chủ của bạn nhận được, bạn sẽ nhận được địa chỉ IP của proxy đầu ra", nhà nghiên cứu của FingerprintJS, Sergey Mostsevenko cho biết. "Tuy nhiên, bạn có thể lấy IP của khách hàng thực thông qua WebRTC."

WebRTC, viết tắt của Web Real-Time Communication, là một sáng kiến ​​mã nguồn mở nhằm cung cấp các trình duyệt web và ứng dụng di động với giao tiếp thời gian thực thông qua API cho phép giao tiếp âm thanh và video ngang hàng mà không cần cài đặt các plugin chuyên dụng hoặc ứng dụng.

Trao đổi phương tiện trong thời gian thực giữa hai điểm cuối được thiết lập thông qua một quá trình khám phá và thương lượng được gọi là báo hiệu liên quan đến việc sử dụng một khuôn khổ có tên là Thiết lập Kết nối Tương tác (ICE), trong đó nêu chi tiết các phương pháp (còn gọi là ứng viên) có thể được sử dụng bởi hai đồng nghiệp để tìm và thiết lập kết nối với nhau, bất kể cấu trúc liên kết mạng.

Lỗ hổng do FingerprintJS phát hiện có liên quan đến một ứng cử viên cụ thể được gọi là "Ứng viên phản xạ máy chủ" được tạo bởi máy chủ STUN khi dữ liệu từ điểm cuối cần được truyền qua NAT (Network Address Translator). STUN - tức là Tiện ích truyền tải phiên cho NAT - là một công cụ được sử dụng để truy xuất địa chỉ IP công cộng và số cổng của một máy tính nối mạng nằm sau NAT.

Cụ thể, lỗ hổng phát sinh từ thực tế là các yêu cầu STUN như vậy không được ủy quyền thông qua iCloud Private Relay, dẫn đến tình huống địa chỉ IP thực của khách hàng bị lộ khi các ứng viên ICE được trao đổi trong quá trình truyền tín hiệu. Mostsevenko nói: “Việc khử ẩn danh bạn trở thành vấn đề phân tích cú pháp địa chỉ IP thực của bạn từ các ứng viên ICE - một điều dễ dàng thực hiện được với một ứng dụng web.

FingerprintJS cho biết họ đã cảnh báo Apple về vấn đề này, với việc nhà sản xuất iPhone đã tung ra bản sửa lỗi trong phiên bản beta mới nhất của macOS Monterey. Tuy nhiên, rò rỉ vẫn chưa được vá khi sử dụng iCloud Private Relay trên iOS 15.

Nếu bất cứ điều gì, tiết lộ là một dấu hiệu khác cho thấy iCloud Private Relay không bao giờ có thể thay thế cho VPN và những người dùng lo lắng về khả năng hiển thị địa chỉ IP của họ nên sử dụng VPN thực hoặc duyệt internet qua mạng Tor và vô hiệu hóa hoàn toàn JavaScript từ Safari để tắt các tính năng liên quan đến WebRTC.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Liệu công cụ kiểm tra nội dung AI có đán...

03/10/2024 12:00:00 45
Trên thực tế, công cụ kiểm tra nội dung AI không phải lúc nào cũng đáng tin cậy và các ví dụ sau đây...

Công cụ AI tạo sinh được bổ sung thêm tr...

02/10/2024 12:00:00 49
Với bản nâng cấp cho Microsoft Paint, người dùng rất háo hức muốn xem chất lượng hình ảnh mọi người ...

Máy tính liên tục khởi động lại vì bản c...

01/10/2024 12:00:00 48
Máy tính gặp sự cố sẽ xuất hiện lỗi màu xanh lam hoặc xanh lục, đôi khi xuất hiện công cụ Windows Au...

Lỗ hổng ChatGPT macOS có thể kích hoạt p...

30/09/2024 08:00:00 72
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể khiến kẻ...

Phát hiện lỗi lạ gây ra hiệu suất thiếu ...

30/09/2024 12:00:00 42
Trong thời gian sớm nhất, bản cập nhật mới sẽ được phát hành ra công chúng.

Mozilla đối mặt với ​​khiếu nại về quyền...

27/09/2024 08:00:00 79
Tổ chức phi lợi nhuận về quyền riêng tư noyb (viết tắt của None Of Your Business) có trụ sở tại Vien...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ