“一项名为VORACLE的新攻击可以恢复在某些条件下通过加密VPN连接发送的HTTP流量,”Bleeping Computer援引上周在Black Hat和DEF CON安全会议上发布的研究报告称。一位匿名读者写道:条件是VPN服务/客户端使用OpenVPN协议,VPN应用程序在使用TLS加密之前压缩HTTP流量。更糟糕的是,OpenVPN协议默认压缩所有数据,然后通过VPN隧道发送。至少有一个VPN提供商TunnelBear现在已更新其客户端以关闭压缩。 [更新:ExpressVPN此后也禁用了压缩以防止VORACLE攻击。] HTTPS流量是安全的,而且只是在这些条件下通过VPN发送的HTTP数据可以恢复。如果用户的VPN客户端支持多种隧道技术,用户也可以通过切换到另一种VPN协议来保持安全。 针对安全研究人员的报告,OpenVPN项目“决定在其文档中添加更明确的警告,说明使用预加密压缩的危险性。”
领取专属 10元无门槛券
私享最新 技术干货