Dịch vụ iCloud Private Relay mới của Apple rò rỉ địa chỉ IP của người dùng
Một điểm yếu mới chưa được khắc phục trong tính năng iCloud Private Relay của Apple có thể bị tấn công để làm rò rỉ địa chỉ IP thực của người dùng từ các thiết bị iOS chạy phiên bản mới nhất của hệ điều hành.
Được giới thiệu dưới dạng bản beta với iOS 15, được phát hành chính thức vào tuần này, iCloud Private Relay nhằm mục đích cải thiện tính ẩn danh trên web bằng cách sử dụng kiến trúc dual-hop bảo vệ hiệu quả các yêu cầu địa chỉ IP, vị trí và DNS của người dùng từ các trang web và dịch vụ mạng. các nhà cung cấp.
Nó đạt được điều này bằng cách định tuyến lưu lượng truy cập internet của người dùng trên trình duyệt Safari thông qua hai proxy để che giấu ai đang duyệt và dữ liệu đó đến từ đâu trong những gì có thể được xem như một phiên bản đơn giản của Tor.
Tuy nhiên, tính năng này chỉ khả dụng cho người đăng ký iCloud + chạy iOS 15 hoặc macOS 12 Monterey trở lên.
"Nếu bạn đọc địa chỉ IP từ một yêu cầu HTTP mà máy chủ của bạn nhận được, bạn sẽ nhận được địa chỉ IP của proxy đầu ra", nhà nghiên cứu của FingerprintJS, Sergey Mostsevenko cho biết. "Tuy nhiên, bạn có thể lấy IP của khách hàng thực thông qua WebRTC."
WebRTC, viết tắt của Web Real-Time Communication, là một sáng kiến mã nguồn mở nhằm cung cấp các trình duyệt web và ứng dụng di động với giao tiếp thời gian thực thông qua API cho phép giao tiếp âm thanh và video ngang hàng mà không cần cài đặt các plugin chuyên dụng hoặc ứng dụng.
Trao đổi phương tiện trong thời gian thực giữa hai điểm cuối được thiết lập thông qua một quá trình khám phá và thương lượng được gọi là báo hiệu liên quan đến việc sử dụng một khuôn khổ có tên là Thiết lập Kết nối Tương tác (ICE), trong đó nêu chi tiết các phương pháp (còn gọi là ứng viên) có thể được sử dụng bởi hai đồng nghiệp để tìm và thiết lập kết nối với nhau, bất kể cấu trúc liên kết mạng.
Lỗ hổng do FingerprintJS phát hiện có liên quan đến một ứng cử viên cụ thể được gọi là "Ứng viên phản xạ máy chủ" được tạo bởi máy chủ STUN khi dữ liệu từ điểm cuối cần được truyền qua NAT (Network Address Translator). STUN - tức là Tiện ích truyền tải phiên cho NAT - là một công cụ được sử dụng để truy xuất địa chỉ IP công cộng và số cổng của một máy tính nối mạng nằm sau NAT.
Cụ thể, lỗ hổng phát sinh từ thực tế là các yêu cầu STUN như vậy không được ủy quyền thông qua iCloud Private Relay, dẫn đến tình huống địa chỉ IP thực của khách hàng bị lộ khi các ứng viên ICE được trao đổi trong quá trình truyền tín hiệu. Mostsevenko nói: “Việc khử ẩn danh bạn trở thành vấn đề phân tích cú pháp địa chỉ IP thực của bạn từ các ứng viên ICE - một điều dễ dàng thực hiện được với một ứng dụng web.
FingerprintJS cho biết họ đã cảnh báo Apple về vấn đề này, với việc nhà sản xuất iPhone đã tung ra bản sửa lỗi trong phiên bản beta mới nhất của macOS Monterey. Tuy nhiên, rò rỉ vẫn chưa được vá khi sử dụng iCloud Private Relay trên iOS 15.
Nếu bất cứ điều gì, tiết lộ là một dấu hiệu khác cho thấy iCloud Private Relay không bao giờ có thể thay thế cho VPN và những người dùng lo lắng về khả năng hiển thị địa chỉ IP của họ nên sử dụng VPN thực hoặc duyệt internet qua mạng Tor và vô hiệu hóa hoàn toàn JavaScript từ Safari để tắt các tính năng liên quan đến WebRTC.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Hướng dẫn cài đặt Kaspersky For Android với Kasper...
- Hướng dẫn cài đặt Kaspersky Safe Kids For Android ...
- Tại sao không tìm thấy các sản phẩm của Kaspersky ...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...