流行信号安全消息传递应用程序的开发人员已开始使用Google的域作为前面,以隐藏其服务的流量,并以SIDESTEP阻止尝试。
绕过在政府控制的互联网接入的国家的在线审查可能对用户非常努力。它通常需要使用虚拟专用网络(VPN)服务或类似于TOR的复杂解决方案,这也可以被禁止。
开放耳语系统,该公司开发信号 - 免费,开源应用程序 - 最近访问其服务时面临此问题开始被埃及被审查和阿拉伯联合酋长国。一些用户报告称VPN,Apple的FaceTime和其他语音过度IP应用程序也被阻止。
来自信号开发人员的解决方案是实施称为域Fronting的审查规则技术2015年纸来自加利福尼亚大学,伯克利大学的研究人员,勇敢的新软件项目和PSIPHon。
该技术涉及将请求发送到“前域”并使用HTTP主机标头触发重定向到其他域。如果通过HTTPS完成,此类重定向将是监视流量的某人的不可见,因为在协商HTTPS连接之后发送HTTP主机标题,因此是加密流量的一部分。
“在HTTPS请求中,目的地域名出现在三个相关的位置:在DNS查询中,在TLS服务器名称指示(SNI)扩展名和HTTP主机标题中,”研究人员在纸质中说。“通常,所有三个地方都会出现相同的域名。但是,在域前面的请求中,DNS查询和SNI携带一个名称(”前域“),而HTTP主机标题由HTTPS隐藏加密,携带另一个(隐蔽,禁止的目的地)。“
他们的研究揭示了许多云服务提供商和内容交付网络允许HTTP主机标题重定向,包括Google,Amazon CloudFront,Amazon S3,Azure,CloudFlare,速度和Akamai。但是,其中大多数只允许它为属于客户的域,所以必须成为客户才能使用这种技术。
例如,谷歌允许通过从Google.com从Google.com重定向到appspot.com。Google App Engine使用该域,该服务允许用户在Google云平台上创建和主持Web应用程序的服务。
这意味着有人可以创建一个简单的反射器脚本,在Google App引擎上托管它,然后使用HTTP主机标题技巧隐藏其从审查机的位置。监视用户流量的人只会看到HTTPS请求转到www.google.com,但这些请求将在Google App引擎上到达反射器脚本,并将转发到隐藏的目的地。
“通过今天的发布,域名fronting是为埃及或阿联酋的国家代码提供电话号码的信号用户,”Open Whisper Systems创始人Moxie Marlinspike周三表示博客帖子。“当这些用户发送信号消息时,它将看起来像是www.google.com的正常HTTPS请求。要阻止信号消息,这些国家也必须阻止所有Google.com。”
即使审查员决定禁止谷歌,也可以扩展域名Fronting实现以使用其他大规模服务作为域前端。如果发生这种情况,强制执行禁止信号将相当于阻止互联网的非常大的部分。
反审查功能目前存在于Android的最新版本中。它还包含在适用于IOS的Beta版本中,即将在生产中发布。
开发人员还规划了未来的改进,即使用户从通常存在审查的国家/地区的国家/地区提供电话号码,也可以自动检测审查员并将其切换到域名面前。这旨在涵盖用户前往应用程序被阻止的其他国家/地区的案例。
安全专家认为信号是最安全的消息服务之一。它的开源端到端加密协议也被Facebook Messenger和Whatsapp等其他流行的聊天应用程序采用。
虽然用户之间的通信是加密端到端的,但信号应用程序使用服务器进行联系人发现,并且可以通过审查员阻止这些服务器,以防止用户使用该应用。