研究人员发现 Signal 的 TLS 代理会泄漏 DNS 和 API 请求

安全
WinterIsComing (31822)发表于 2021年02月09日 09时12分 星期二
来自部门
DuckSoft 写道 "最近,端到端加密消息平台 Signal 被伊朗政府封杀。为了帮助其用户绕过伊朗的审查制度,该公司提出了一个 TLS 代理 的变通方法。 继 “Signal 无视代理漏洞,称“这不是风险” 事件”(Solidot)后,有研究人员发现存档),Signal 的  Android 应用的最新测试版未能将所有流量路由到 TLS 代理。应用中存在 DNS 泄漏,这对于审查人员来说,了解哪些 IP 地址连接到 Signal 将易如反掌。

研究人员还报告了其他的流量泄漏问题,包括检查更新等 API 不会走代理等。"