在大规模监视时代,使用虚拟专用网络在大众监督时代的额外隐私和安全性成为常见的做法,但本周发布的一项研究表明,这些网络可能不会像他们通常做出的那样安全。
事实上,由于称为IPv6泄漏的漏洞,根据罗马萨皮萨大学的研究人员和伦敦王后大学的研究人员,他们中的许多人可以将用户信息暴露给窥探眼睛。
题为“通过VPN看玻璃:IPv6泄漏和DNS在商业VPN客户中劫持,”报告描述了去年年底进行的一项研究,在世界各地审查了14个受欢迎的商业VPN提供商。
Specifically, the researchers tested the VPNs by attempting two kinds of attacks: passive monitoring, whereby a hacker might simply collect the user’s unencrypted information, and DNS hijacking, where the hacker would redirect the user’s browser to a controlled Web server by pretending to be a popular site like Google or Facebook.
他们发现的是undentn:14个提供商中的11个泄露了信息,包括用户正在访问的网站以及用户通信的实际内容。唯一的三个不是私人互联网接入,mlulvad和vyprvpn。他们指出,Torguard提供了一种解决问题的方法,但默认情况下并未启用。
该研究还在使用VPN时检查了各种移动平台的安全性,发现它们在使用iOS时更加安全,但仍然容易使用Android泄漏。
研究人员注意到,与运行HTTPS加密的网站的交互没有泄露。
那么泄漏是责任的?研究人员得出结论,一个因素是,虽然网络运营商越来越多地部署IPv6,但许多VPN仍然只保护IPv4流量。
然而,他们发现的另一个问题是许多VPN服务提供商仍然依赖于过时的隧道协议,例如可以通过蛮力攻击轻松打破的PPTP。
作者指出了TOR以及Linux发行版,例如尾部作为寻求匿名的潜在替代品。与此同时,企业VPN大大不受泄漏问题的影响,他们说。
“对于VPN技术的平均商业用户,没有影响,”Duo安全研究总监Steve Manzuik说。
然而,依赖VPN服务的用户应该“始终了解他们的系统正在发送的协议以及考虑VPN服务,该服务也为那些或最不禁用未使用的人提供覆盖范围,”Manzuik建议。
他还值得注意的是,VPN技术尚未设计提供隐私,以便提供更安全的方式通过不受信任的网络连接到组织的内部网络基础架构,他指出。
“即使在适当地拥有配置的VPN,”Manzuik也说:“还有其他方法来识别用户并违反他们的隐私。”