X-VPN šiandien pasidalijo išvadomis iš vidinės Blind In/On-Path analizės metodų apžvalgos. Mūsų testai rodo, kad šie metodai nuskaito šalutinių kanalų pėdsakus iš paketų tvarkymo; jie neiššifruoja VPN turinio. Signalas, kurį išmatavome, atitinka operacinės sistemos maršruto parinkimo elgseną (labiausiai pastebimą „Android“), o ne X-VPN tuneliavimo ar kriptografijos trūkumus.
Kaip veikia Blind In/On-Path analizė
Nepatikimame tinkle (pvz., priešiškame viešosios interneto prieigos taške) užpuolikas gali siųsti sukurtus tyrimus ir stebėti, kaip įrenginys reaguoja. Nedideli laiko ar atsako skirtumai gali reikšti, kad VPN seansas yra arba tam tikromis sąlygomis sutrikdyti ryšį. Nė vienas iš šių dalykų neatskleidžia paprasto teksto, judančio užšifruotame tunelyje.
Ką stebėjome įvairiose platformose
„Apple“ ir „Microsoft“ („iOS“, „macOS“, „Windows“)
Kontroliuojamuose važiavimuose nepastebėjome stabilaus, atkuriamo signalo, panašaus į „Android“. Šifruoti seansai šiose sistemose veikė taip, kaip tikėtasi.
Visose platformose X-VPN kriptovaliutų rinkinys – AES-GCM, TLS pagrįsti rankų paspaudimai ir Everesto šeima – veikė kaip numatyta. Protokolų įvairovė išlieka prieinama (WireGuard, OpenVPN ir Everest-TCP), kad būtų išlaikytas seanso atsparumas.
Linux
Panašūs signalai gali kilti naudojant leidžiamus nustatymus, tačiau „Linux“ leidžia valdyti administratoriaus valdymą. X-VPN dabar filtruoja netikėtą srautą sąsajos sluoksnyje, kad sumažintų atsako paviršių.
Android
Atliekant vidinį testavimą, griežtas atvirkštinio kelio patvirtinimas pagal numatytuosius nustatymus neįgyvendinamas (ty rp_filter nėra taikomas griežtai), todėl suklastoti paketai gali pereiti tarp sąsajų. Zondai, nukreipti į virtualų tunelį (pvz., tun0), davė išmatuojamus atsakymus atvirame „Wi-Fi“. Kadangi „Android“ klientai remiasi „VpnService“ API ir negali keisti branduolio parametrų, norint atlikti visišką pataisymą, reikia pakeisti OS.
Visose platformose X-VPN krūva – AES-GCM, TLS pagrįsti rankų paspaudimai ir Everesto šeima – veikė kaip numatyta. Protokolo įvairovė („WireGuard“, „OpenVPN“ ir „Everest-TCP“) palaiko seanso atsparumą.
Išvadų santrauka
Duomenų poveikio neaptikta
Šifruotė išliko patikima, o mūsų pozicija neprisijungė visą patvirtinimo laikotarpį.
Vidinė peržiūra rodo aiškiausią signalą „Android“.
Leidžiami maršruto parinkimo patikrinimai gali leisti suklastotiems zondams sukelti pastebimus įrenginio atsakymus.
Linux dabar sukietėjęs
Sąsajos lygio valdikliai pašalina nepageidaujamus paketus, kol jie pasiekia tunelį.
Vykdomas nepriklausomas auditas
Apimtis apima registravimo vykdymą, šifravimo elgesį ir tunelio vientisumą.
„Tai yra ribinis klausimas – kur baigiasi OS tinklų kūrimas ir kur prasideda VPN kompetencija“, – sakė jis. Lukas MerfisX-VPN techninis redaktorius. „Mūsų tuneliai liko užšifruoti, o valdikliai buvo atlikti taip, kaip numatyta. Likęs signalas suderinamas su platformos maršruto parinkimo numatytomis nuostatomis, o ne su pažeista kriptografija.”
Veiksmai, kurių buvo imtasi
Suderintas atskleidimas „Google“.
X-VPN pateikė apimtį, stebėjimus ir replikacijos artefaktus „Android“ saugos komandai, kad pardavėjas galėtų įvertinti.
Linux grūdinimas išsiųstas
Klientas sumažina eismą, nukreiptą į tunelį, nebent jis atitinka numatytus maršrutus, sumažindamas šoninio kanalo triukšmą.
„Android“ tyrimai tęsiami
Programų sluoksnio euristika (pvz., nenormalių zondavimo modelių aptikimas) yra vertinama, atsargiai žiūrint į našumo kompromisus ir tik klientui skirtų apsaugos priemonių ribas.
Griežtesnis stebėjimas
Visose programose buvo padidintos rankos paspaudimo anomalijų ir bandymų grąžinti ankstesnę versiją slenksčiai.
Praktinės gairės „Android“ naudotojams
Kol platforma nepasikeis, X-VPN rekomenduoja:
- Pirmenybę teikite mobiliesiems duomenims arba patikimam „Wi-Fi“ ryšiui; venkite nežinomų viešųjų taškų.
- Naudokite HTTPS pirmąsias programas ir svetaines.
- Įgalinkite „Kill Switch“ „Android“ programoje. Jei tunelis nukrenta, interneto prieiga nutrūksta, o tai sumažina priešiškų tinklų poveikį.
- Atnaujinkite sistemos programinę-aparatinę įrangą ir VPN programą.
„X-VPN“ „Android“ programa siūlo „Kill Switch“ tiek nemokamiems, tiek „Premium“ vartotojams. „Premium“ planai leidžia vienu metu naudoti penkis įrenginius ir apima optimizuotus srautinio perdavimo serverius (pvz., „Netflix“). Nemokamas planas suteikia užšifruotą tuneliavimą ir pasirinktas vietas nereikalaujant el. pašto adreso.
Žvelgiant į priekį
VPN apsaugo srautą pervežant, tačiau platformos numatytieji nustatymai ir realios tinklo sąlygos lemia tai, ką užpuolikai gali stebėti iš išorės. Dokumentuodama ribą tarp OS maršruto parinkimo ir VPN valdymo bei sustiprindama „Linux“, derindama veiksmus su „Android“ sauga ir sugriežtindama aptikimą, „X-VPN“ siekia pateikti praktiškus, patikrinamus apsaugos veiksmus, nepervertindamas apimties.
