X-VPN امروز یافته‌های حاصل از بررسی داخلی تکنیک‌های تحلیل Blind In/On-Path را به اشتراک گذاشت. آزمایش‌های ما نشان می‌دهد که این روش‌ها، ردپاهای کانال جانبی را از مدیریت بسته‌ها می‌خوانند؛ آن‌ها محتوای VPN را رمزگشایی نمی‌کنند. سیگنالی که ما اندازه‌گیری کردیم، به جای نقص در تونل‌سازی یا رمزنگاری X-VPN، به رفتار مسیریابی سیستم عامل - که بیشتر در اندروید قابل توجه است - نگاشت می‌شود.

نحوه عملکرد تحلیل کورکورانه ورود/در مسیر

در یک شبکه‌ی غیرقابل اعتماد (مثلاً یک هات‌اسپات متخاصم)، یک مهاجم می‌تواند کاوشگرهای دستکاری‌شده ارسال کند و نحوه‌ی واکنش دستگاه را مشاهده کند. تفاوت‌های جزئی در زمان‌بندی یا پاسخ می‌تواند نشان دهد که یک جلسه‌ی VPN وجود دارد یا در برخی شرایط، اتصال را مختل کند. هیچ‌کدام از این‌ها، متن ساده‌ای را که درون تونل رمزگذاری شده حرکت می‌کند، آشکار نمی‌کند.

آنچه در پلتفرم‌های مختلف مشاهده کردیم

اپل و مایکروسافت (iOS، macOS، ویندوز)

در آزمایش‌های کنترل‌شده، سیگنال پایدار و تکرارپذیری مشابه اندروید مشاهده نکردیم. جلسات رمزگذاری‌شده در این سیستم‌ها مطابق انتظار عمل کردند.

در پلتفرم‌های مختلف، پشته رمزنگاری X-VPN - AES-GCM، handshakeهای مبتنی بر TLS و خانواده Everest - همانطور که در نظر گرفته شده بود، عمل کردند. تنوع پروتکل (WireGuard، OpenVPN و Everest-TCP) برای حفظ انعطاف‌پذیری جلسه همچنان در دسترس است.

لینوکس

سیگنال‌های مشابهی می‌توانند تحت تنظیمات مجاز ایجاد شوند، اما لینوکس کنترل‌های مدیریتی را مجاز می‌داند. X-VPN اکنون ترافیک غیرمنتظره را در لایه رابط فیلتر می‌کند تا سطح پاسخ را کوچک کند.

اندروید

در آزمایش‌های داخلی، اعتبارسنجی دقیق مسیر معکوس به طور پیش‌فرض اجرا نمی‌شود (یعنی rp_filter به طور دقیق اعمال نمی‌شود)، که ممکن است به بسته‌های جعلی اجازه دهد بین رابط‌ها عبور کنند. کاوشگرهایی که تونل مجازی را هدف قرار می‌دادند (مثلاً tun0) پاسخ‌های قابل اندازه‌گیری را روی وای‌فای باز تولید کردند. از آنجا که کلاینت‌های اندروید به API VpnService متکی هستند و نمی‌توانند پارامترهای هسته را تغییر دهند، رفع کامل مشکل نیاز به تغییرات در سطح سیستم عامل دارد.

در تمام پلتفرم‌ها، پشته X-VPN - AES-GCM، handshakeهای مبتنی بر TLS و خانواده Everest - همانطور که در نظر گرفته شده بود عمل کردند. تنوع پروتکل (WireGuard، OpenVPN و Everest-TCP) انعطاف‌پذیری جلسه را حفظ می‌کند.

خلاصه یافته‌ها

هیچ افشای اطلاعاتی شناسایی نشد

رمزگذاری همچنان صحیح بود و وضعیت عدم گزارش ما در طول اعتبارسنجی حفظ شد.

بررسی داخلی، واضح‌ترین سیگنال را در اندروید نشان می‌دهد

بررسی‌های مسیریابی مجاز ممکن است به کاوشگرهای جعلی اجازه دهند تا پاسخ‌های قابل مشاهده‌ای از دستگاه استخراج کنند.

لینوکس اکنون مقاوم‌تر شده است

کنترل‌های سطح رابط، بسته‌های ناخواسته را قبل از رسیدن به تونل حذف می‌کنند.

حسابرسی مستقل در حال انجام است

محدوده شامل اجرای ثبت وقایع، رفتار رمزگذاری و یکپارچگی تونل است.

لوک مورفی ، سردبیر فنی X-VPN، گفت: «این یک سوال مرزی است - جایی که شبکه‌سازی سیستم عامل پایان می‌یابد و از کجا وظیفه VPN آغاز می‌شود. تونل‌های ما رمزگذاری شده باقی ماندند و کنترل‌ها طبق طراحی انجام شدند. سیگنال باقیمانده با پیش‌فرض‌های مسیریابی پلتفرم همسو است، نه با رمزنگاری ناقص.»

اقدامات انجام شده

افشای هماهنگ‌شده به گوگل

X-VPN دامنه، مشاهدات و مصنوعات تکثیر را برای ارزیابی از طرف فروشنده در اختیار تیم امنیتی اندروید قرار داد.

مقاوم‌سازی لینوکس ارسال شد

کلاینت ترافیک هدایت‌شده به سمت تونل را حذف می‌کند، مگر اینکه با مسیرهای مورد انتظار مطابقت داشته باشد و نویز کانال جانبی را کاهش می‌دهد.

تحقیقات اندروید ادامه دارد

روش‌های اکتشافی لایه برنامه (مثلاً تشخیص الگوهای کاوش غیرعادی) با احتیاط در مورد بده‌بستان‌های عملکرد و محدودیت‌های دفاع‌های صرفاً کلاینتی ارزیابی می‌شوند.

نظارت دقیق‌تر

آستانه‌های مربوط به ناهنجاری‌های هندشیک و تلاش‌های تنزل رتبه در برنامه‌ها افزایش یافته است.

راهنمایی کاربردی برای کاربران اندروید

تا زمانی که پلتفرم بالادستی تغییر نکند، X-VPN توصیه می‌کند:

ترجیحاً از اینترنت موبایل یا وای‌فای مطمئن استفاده کنید؛ از هات‌اسپات‌های عمومی ناشناس دوری کنید.

از برنامه‌ها و سایت‌های دارای HTTPS استفاده کنید.

فعال کردن Kill Switch در برنامه اندروید. اگر تونل از کار بیفتد، دسترسی به اینترنت قطع می‌شود و میزان قرار گرفتن در معرض شبکه‌های متخاصم کاهش می‌یابد.

سیستم عامل و برنامه VPN را به‌روز نگه دارید.

اپلیکیشن اندروید X-VPN قابلیت Kill Switch را هم برای کاربران رایگان و هم برای کاربران ویژه ارائه می‌دهد. طرح‌های ویژه امکان اتصال همزمان به پنج دستگاه را فراهم می‌کنند و شامل سرورهای استریم بهینه شده (مثلاً برای نتفلیکس) هستند. طرح رایگان، تونلینگ رمزگذاری شده و مکان‌های انتخاب شده را بدون نیاز به آدرس ایمیل ارائه می‌دهد.

با نگاهی به آینده

VPNها از ترافیک در حال انتقال محافظت می‌کنند، اما پیش‌فرض‌های پلتفرم و شرایط شبکه در دنیای واقعی، آنچه را که مهاجمان می‌توانند از بیرون مشاهده کنند، شکل می‌دهند. X-VPN با مستندسازی مرز بین مسیریابی سیستم عامل و کنترل VPN - و با مقاوم‌سازی لینوکس، هماهنگی با امنیت اندروید و تشدید تشخیص - قصد دارد مراحل حفاظتی عملی و قابل تأیید را بدون اغراق در محدوده ارائه دهد.

تست مسدودسازی تبلیغات