|
|
加密的郵件應(yīng)用程序Signal使用Google繞過(guò)審查,遠(yuǎn)程控制軟件,灰鴿子下載
應(yīng)用程式會(huì)透過(guò)Google伺服器傳送請(qǐng)求����,讓政府更難阻止他們
![]()
流行的Signal安全通訊應(yīng)用程式的開(kāi)發(fā)人員已開(kāi)始使用Google的網(wǎng)域作為前端來(lái)隱藏他們的服務(wù)流量,并避開(kāi)封鎖嘗試����。
在互聯(lián)網(wǎng)接入受政府控制的國(guó)家中繞過(guò)在線審查對(duì)用戶來(lái)說(shuō)可能非常困難。它通常需要使用虛擬專用網(wǎng)絡(luò)(VPN)服務(wù)或復(fù)雜的解決方案����,如Tor,它也可以被禁止��。
開(kāi)放Whisper系統(tǒng)公司開(kāi)發(fā)Signal - 一個(gè)免費(fèi)的開(kāi)源應(yīng)用程序 - 最近面臨這個(gè)問(wèn)題��,當(dāng)它的服務(wù)開(kāi)始被埃及和阿拉伯聯(lián)合酋長(zhǎng)國(guó)審查��。一些用戶報(bào)告說(shuō)�,VPN,Apple的FaceTime和其他IP語(yǔ)音應(yīng)用程序也被阻止�。
Signal的開(kāi)發(fā)人員的解決方案是實(shí)施一種審查規(guī)避技術(shù),稱為領(lǐng)域前沿����,由加州大學(xué)伯克利分校,勇敢的新軟件項(xiàng)目和Psiphon的研究人員在2015年的論文中描述��。
該技術(shù)涉及將請(qǐng)求發(fā)送到“前域”��,并使用HTTP主機(jī)頭來(lái)觸發(fā)重定向到不同的域����。如果通過(guò)HTTPS完成,則此類重定向?qū)τ诒O(jiān)視流量的某人是不可見(jiàn)的��,因?yàn)镠TTP主機(jī)頭在協(xié)商HTTPS連接之后發(fā)送����,因此是加密流量的一部分。
“在HTTPS請(qǐng)求中�,目標(biāo)域名出現(xiàn)在三個(gè)相關(guān)位置:在DNS查詢中,在TLS服務(wù)器名稱指示(SNI)擴(kuò)展和HTTP主機(jī)頭中,”研究人員在他們的論文中說(shuō)����。 “通常,相同的域名出現(xiàn)在所有三個(gè)地方�。然而,在域前向請(qǐng)求中����,DNS查詢和SNI攜帶一個(gè)名稱(”前域“),而HTTP主機(jī)頭由HTTPS通過(guò)檢查器隱藏加密��,攜帶另一個(gè)(隱蔽的����,被禁止的目的地)“。
他們的研究顯示�,許多云服務(wù)提供商和內(nèi)容交付網(wǎng)絡(luò)允許HTTP主機(jī)標(biāo)頭重定向,包括Google����,Amazon Cloudfront,Amazon S3��,Azure��,CloudFlare,F(xiàn)astly和Akamai��。然而�,他們中的大多數(shù)只允許屬于他們的客戶的域����,所以為了使用這種技術(shù),必須成為客戶����。
例如,Google允許通過(guò)HTTP主機(jī)標(biāo)頭從google.com重定向到appspot.com����。此網(wǎng)域由Google App Engine使用,該服務(wù)允許用戶在Google的云平臺(tái)上創(chuàng)建和托管網(wǎng)絡(luò)應(yīng)用程序�。
這意味著有人可以創(chuàng)建一個(gè)簡(jiǎn)單的反射器腳本,將其托管在Google App Engine上����,然后使用HTTP主機(jī)標(biāo)題技巧將其位置從審查中隱藏。監(jiān)控用戶流量的用戶只能看到到www.google.com的HTTPS請(qǐng)求��,但這些請(qǐng)求會(huì)到達(dá)Google App Engine上的反射器腳本��,并會(huì)轉(zhuǎn)發(fā)到隱藏的目標(biāo)位置。
Open Whisper Systems的創(chuàng)始人Moxie Marlinspike周三在一篇博文中表示:“今天的發(fā)布����,對(duì)于擁有來(lái)自埃及或阿聯(lián)酋國(guó)家代碼的電話號(hào)碼的Signal用戶,啟用了域前端�。 “當(dāng)這些用戶發(fā)送Signal消息時(shí),它看起來(lái)像是向www.google.com發(fā)出的正常HTTPS請(qǐng)求��。要阻止Signal消息����,這些國(guó)家/地區(qū)還必須阻止所有g(shù)oogle.com。
即使審查員決定禁止Google����,域前端實(shí)施也可以擴(kuò)展為使用其他大型服務(wù)作為域前端。如果發(fā)生這種情況����,強(qiáng)制禁止Signal將等同于阻止大部分互聯(lián)網(wǎng)。
反審查功能當(dāng)前存在于最新版本的Signal for Android�。它也包括在iOS的應(yīng)用程序的測(cè)試版,將很快在生產(chǎn)中發(fā)布����。
開(kāi)發(fā)人員還計(jì)劃未來(lái)的改進(jìn)�,將允許應(yīng)用程序自動(dòng)檢測(cè)審查�,并切換到域正面,即使用戶有來(lái)自一個(gè)國(guó)家����,通常不存在審查的電話號(hào)碼����。這是為了涵蓋那些用戶旅行到其他國(guó)家的應(yīng)用程序被阻止的情況。
信號(hào)被安全專家認(rèn)為是最安全的消息服務(wù)之一����。它的開(kāi)源端到端加密協(xié)議也被其他流行的聊天應(yīng)用程序,如Facebook Messenger和WhatsApp采納����。
雖然用戶之間的通信是端到端加密的,但Signal應(yīng)用程序使用服務(wù)器進(jìn)行聯(lián)系發(fā)現(xiàn)�,并且這些可以被審查員阻止,以防止用戶使用應(yīng)用程序����。
|
|
加載中...
發(fā)表于 2016-12-23 13:24:20
收藏