端口失敗VPN安全漏洞暴露您的真實IP地址

在虛擬專用網(wǎng)絡(luò)(VPN)使用的協(xié)議中發(fā)現(xiàn)的漏洞允許攻擊者公開預(yù)期受害者的真實IP地址。

在本周由VPN提供商完美隱私發(fā)布的安全咨詢中，該公司表示，這個被稱為"端口故障，"的漏洞會影響提供端口轉(zhuǎn)發(fā)的VPN提供商，并且沒有保護IP泄漏。

VPN被全世界的隱私意識所使用，并通過偽裝一個人的真實位置來規(guī)避基于地理位置的內(nèi)容限制。在那些用鐵腕控制互聯(lián)網(wǎng)接入的，VPN也是繞過審查制度的一種方式。使用也增加了后斯諾登，因為我們中更多的人現(xiàn)在擔心誰可能跟蹤我們的在線活動。

當然，一個安全缺陷會使我們真正的IP地址打開，讓所有人都能看到VPN的目的，完美的隱私所暴露的漏洞對于不知道該漏洞的VPN提供商來說可能是危險的。

VPN提供商保護自己的網(wǎng)絡(luò)免受利用該漏洞的攻擊，它說有幾個步驟可以執(zhí)行成功的攻擊。

攻擊者需要有一個與受害者相同的VPN提供者的活動帳戶，還必須知道受害者的VPN退出IP地址，可以通過洪流客戶端或通過引誘受害者訪問惡意頁面獲得，并且必須設(shè)置端口轉(zhuǎn)發(fā)。受害者是否也有端口轉(zhuǎn)發(fā)（將流量重路由到不同的地址）活動與此無關(guān)。

然后，黑客連接到與受害者相同的服務(wù)器網(wǎng)關(guān)，激活端口轉(zhuǎn)發(fā)，并等待直到受害者訪問惡意網(wǎng)站地址，在那里他們的真實IP可以被刮擦。

"這里的關(guān)鍵問題是連接到他自己的VPN服務(wù)器的VPN用戶將使用他的默認路由和他的真實IP地址,因為這對于VPN連接工作是必需的,"說。

"如果另一個用戶(攻擊者)在同一服務(wù)器上為其帳戶啟用了端口轉(zhuǎn)發(fā)，則他可以通過欺騙他訪問將該流量重定向到其控制下的端口的鏈接來找出同一VPN服務(wù)器上任何用戶的真實IP地址。"

根據(jù)完美隱私，由于攻擊的性質(zhì)，所有VPN協(xié)議--如IPSec、OpenVPN和PPTP--以及所有操作系統(tǒng)都受到影響。

VPN提供商通過9個提供端口轉(zhuǎn)發(fā)的VPN提供商測試了該漏洞?？偣灿?人易受攻擊，其中包括私人互聯(lián)網(wǎng)接入(PIA)、O.to和nVPN，它們在公開披露之前得到通知，并已解決了這一問題。然而，完美的隱私懷疑更多的公司受到影響。

PIA獲得了完美的隱私，為披露提供了5,000美元的錯誤獎金。