网络安全研究人员在Apple为iOS15推出的新iCloudPrivateRelay服务中发现了一个潜在的零日漏洞,它可以通过该漏洞泄露用户的真实IP地址。作为Apple最新移动操作系统更新中为付费iCloud用户提供的免费升级,iCloudPrivateRelay允许用户隐藏他们的IP地址和来自网站和网络服务提供商的DNS请求。
但是,安全供应商FingerprintJS的研究员和开发人员SergeyMostsevenko发现该服务通过WebRTCAPI泄漏IP地址。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
在详细介绍该漏洞的帖子中,Mostsevenko表明该漏洞使网站能够与其访问者建立直接通信,从而破坏了私有中继服务的匿名化目的。
新的Apple服务类似于VPN,因为它对网络浏览流量进行加密,并通过中继将其发送以混淆其内容,包括用户的位置和IP地址。通过该服务浏览网页时,访问过的网站只会看到iCloud分配的代理IP地址。
在解释Mostsevenko的发现时,TheDailySwig表示该服务依赖WebRTC在ICE(交互式连接建立)框架的帮助下建立通信。
作为该过程的一部分,它收集所谓的ICE候选对象,其中包括各种信息,例如IP地址或域名、端口、协议和其他信息,然后将这些信息返回给浏览器。
然而,Mostsevenko发现Apple的Safari网络浏览器正在传递包含真实IP地址的ICE候选。
“为了修复这个漏洞,Apple需要修改Safari,让它通过iCloudPrivateRelay路由所有流量,”Mostsevenko总结道,他已向Apple报告了该漏洞,但尚未收到回复。
标签: