伴随着NDSS 2022的召开,今天我们来介绍一篇今年会议上高度吸引(中国)读者眼球的论文
不了解我国国情的作者指出,VPN在COVID-19大流行期间得到了广泛应用(因为大家都work from home),成为了一个和在线会议一样蓬勃发展的IT产业。为了全面测试各类VPN服务的安全性,作者设计了VPNalyzer测试工具,针对80家桌面平台VPN软件开展横评。研究结果表明,竟然有26家VPN服务提供商的服务存在流量信息泄露的风险,其中有5家甚至会将IPv6的流量泄露给用户的ISP!而其中29家服务商没有自建DNS服务,在使用三方DNS服务的时候同样存在信息泄露风险。(注意到第二作者并没有因为其俄罗斯身份被踢掉~)
在这篇论文中我们发现了一个很不好的趋势——现在的论文内卷程度越来越高,为了写一篇论文,要开发一个软件(VPNalyzer),还要考虑软件的跨平台性(基于Electron框架,支持Windows、Linux和macOS),甚至软件界面美观程度都得关注,再这样下去搞论文成了搞创业了!
在实战中,VPNalyzer需要大约20分钟左右测试一个VPN服务的15项相关安全特性,其中主要包括三部分:对服务质量的测试(3项),对配置错误导致安全问题的测试(3项),以及对安全相关的特性支持的测试(9项)。
在这些测试里面,有一项很重要的指标是所谓的“kill switch”,也就是说当VPN掉线的时候,用户当前所有的网络连接必须被强制全部中断,否则用户可能在不知情的情况下继续使用网络,而这时候网络其实已经进入到正常的流量连接了(也就是存在流量被监控分析或者劫持的风险)。
IPv6是另一个VPN服务提供商支持比较差劲的方面,如果VPN服务并不能有效将IPv6的流量保护起来,那么这个渠道上泄露出去的信息往往会把用户的各种敏感操作都出卖了。此外,DNS也是一项容易在VPN掉线时候产生信息泄露的服务,很多VPN软件考虑到可用性,往往会在连接中断的时候启用标准的DNS服务(而且使用未经保护的流量),这直接导致了用户大量的网络浏览信息泄露。
作者对如下80家VPN提供商进行了测试(快来看看你日常使用的厂商是否在列):
不得不说,现在论文的图都画得越来越花里胡哨,小编看起来都头疼。如果你跟我一样看不懂这个图(Figure 4),那么可以直接跳到论文最后看完整的分析结果(Table VI):
简单介绍一下作者的主要发现:
-
大部分VPN服务提供商没有很好处理IPv6流量(80家服务提供商中只有11家做到),其中5家服务提供商完全没有使用VPN去保护IPv6流量;
-
18家服务提供商在VPN断线后没有很好保护用户流量,任凭其转到普通网络上;
-
26家服务提供商在VPN断线后没有保护好DNS流量;
-
29家服务提供商使用了公共DNS服务
最后作者还发现许多VPN服务提供商共享了基础设施:
如果硬要给这篇文章挑点毛病,那就是这篇文章没有引用我们在CANS 2017上发表的一篇很有趣的论文Oh-Pwn_VPN! Security Analysis of OpenVPN-based Android Apps,在这里就一起顺便给大家安利一下:https://sjtu.lijuanru.com/publications/cans17.pdf
请大家夸我们是良心团长,买一送一,祝大家五一节快乐,我们五一后见!
论文PDF:
https://www.ndss-symposium.org/wp-content/uploads/2022-285-paper.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 阅读推荐 2022-04-29
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论