iCloud私人中继服务被曝泄露用户IP地址
APPLE最新版操作系统iOS设备中,iCloud Private Relay(iCloud私人中继) 功能中存在一个尚未修复的新漏洞,可能泄露用户的真实IP地址。
9月23日, iOS15测试版正式发布,其中iCloud Private Relay功能是通过采用双跳架构,有效地屏蔽用户的IP地址、位置和来自网站、网络服务提供商的DNS请求,从而提高网络上的隐蔽性。
通过将用户在Safari浏览器上的互联网流量通过两个路由进行代理,以掩盖浏览和数据的来源,这可以被视为简化版的Tor(浏览器)。
FingerprintJS(浏览器指纹库)研究员Mostsevenko称:如果从服务器收到的HTTP请求中读取 IP 地址,能够获得出口代理的IP地址,也可以直接通过 WebRTC 获取真实的客户端IP。
WebRTC 是 Web Real-Time Communication 的缩写,是一项开源计划,旨在通过API,为Web浏览器和移动应用程序提供实时通信,这些API支持点对点音频和视频通信,且无需安装专用插件或应用。
两个端点之间实时媒体交换,通过信号传递的发现并建立协商过程,该过程使用交互式连接建立 (ICE) 框架,该框架详细说明了两个对等端可以使用的方法(又名candidates),无论网络拓扑如何,都可以相互查找并建立连接。
FingerprintJS发现的漏洞与“服务器反射候选”的特定candidates有关,当来自端点的数据需要通过 NAT(网络地址转换器)传输时,STUN 服务器会生成candidates。 STUN(即 NAT 会话遍历实用程序)是一种用于检索位于 NAT 后面IP 地址和端口号的工具。
具体来讲,该漏洞源于此类STUN请求未通过 iCloud Private Relay 进行代理,导致在信号传递过程中交换 ICE candidates时暴露客户端的真实 IP 地址。
FingerprintJS表示已经这个问题反馈给苹果公司,苹果已经在最新的macOS Monterey测试版中推出了修复程序。 但在iOS 15上使用 Cloud Private Relay 时,泄露问题仍未修复。
漏洞事件表明 iCloud Private Relay 永远无法替代虚拟专用网,担心IP地址泄露的用户应该使用真正的虚拟专用网或通过Tor网络浏览互联网,并完全禁用Safari浏览器的JavaScript,关闭WebRTC相关功能。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
ORM 框架 Bee V1.9.8(2021 中秋节版)发布
Bee,互联网新时代的Java ORM工具,简单、高效,开发速度快! V1.9.8(2021中秋节版) SuidRich增加4个易用方法; 多表查询支持List类型实体字段的多表关联查询; 不用Javabean实体结构操作数据库suid功能趋向完备; 其它: PreparedSqlLib新增selectMapList方法, 支持生成Json格式的SQL脚本 等. 在用别的ORM工具时,有碰到过这种问题吗? "一对多关联,出现数据条数不匹配的情况,比如要查询10条,由于一对多的关系导致最终得到的数据条数变少。" 来Bee看下,这些问题是如何解决的吧! Bee立志要做一个最懂用户的ORM框架! 功能详情: 1. SuidRich增加4个方法: public <T> int save(T entity); public <T> int update(T oldEntity,T newEntity); public <T> String selectJson(T entity, String selectField); public <T&g...
- 下一篇
超六成CISO来自外聘,安全人才“内生”成难题
根据Marlin Hawk的最新研究报告,企业从另一家公司聘用(挖角)CISO(首席信息安全官)的比例高达64%;超过一半的受访者(53%) 担任当前职位两年或更短时间,这意味着他们在新冠肺炎大流行期间才开始新工作。 据了解,2020年,伴随全球新冠肺炎的大流行,几乎所有公司都在适应远程办公的竞赛中面临多种安全挑战。面对这些挑战和不断增加的财政压力,强大的网络安全功能变得越来越重要,CISO也随之成为最高管理层中最具弹性和活力的成员之一。 尽管CISO的角色发生了巨大变化,但大多数人在其所在公司董事会中没有席位。研究显示,企业普遍缺乏让当前CISO满意的好计划,没有继任计划,而且似乎缺乏内部招聘。 报告指出:“我们无法回到过去,如果组织想要加强其网络安全人才队伍,同时保持已经拟定的技术战略,就必须考虑内部培训、管理轮换、认证和更广泛的职业经验。否则,在等待下一代(网络安全)领导人到来之前,我们将看到(CISO)供应短缺持续十年。” 【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Windows10,CentOS7,CentOS8安装Nodejs环境
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- MySQL8.0.19开启GTID主从同步CentOS8
- Hadoop3单机部署,实现最简伪集群
- Docker安装Oracle12C,快速搭建Oracle学习环境