加密的邮件应用程序Signal使用Google绕过审查,远程控制软件,灰鸽子下载
加密的邮件应用程序Signal使用Google绕过审查,远程控制软件,灰鸽子下载应用程式会透过Google伺服器传送请求,让政府更难阻止他们
http://images.techhive.com/images/article/2016/12/digital_key.jpg-100699424-large.jpeg
流行的Signal安全通讯应用程式的开发人员已开始使用Google的网域作为前端来隐藏他们的服务流量,并避开封锁尝试。
在互联网接入受政府控制的国家中绕过在线审查对用户来说可能非常困难。它通常需要使用虚拟专用网络(VPN)服务或复杂的解决方案,如Tor,它也可以被禁止。
开放Whisper系统公司开发Signal - 一个免费的开源应用程序 - 最近面临这个问题,当它的服务开始被埃及和阿拉伯联合酋长国审查。一些用户报告说,VPN,Apple的FaceTime和其他IP语音应用程序也被阻止。
Signal的开发人员的解决方案是实施一种审查规避技术,称为领域前沿,由加州大学伯克利分校,勇敢的新软件项目和Psiphon的研究人员在2015年的论文中描述。
该技术涉及将请求发送到“前域”,并使用HTTP主机头来触发重定向到不同的域。如果通过HTTPS完成,则此类重定向对于监视流量的某人是不可见的,因为HTTP主机头在协商HTTPS连接之后发送,因此是加密流量的一部分。
“在HTTPS请求中,目标域名出现在三个相关位置:在DNS查询中,在TLS服务器名称指示(SNI)扩展和HTTP主机头中,”研究人员在他们的论文中说。 “通常,相同的域名出现在所有三个地方。然而,在域前向请求中,DNS查询和SNI携带一个名称(”前域“),而HTTP主机头由HTTPS通过检查器隐藏加密,携带另一个(隐蔽的,被禁止的目的地)“。
他们的研究显示,许多云服务提供商和内容交付网络允许HTTP主机标头重定向,包括Google,Amazon Cloudfront,Amazon S3,Azure,CloudFlare,Fastly和Akamai。然而,他们中的大多数只允许属于他们的客户的域,所以为了使用这种技术,必须成为客户。
例如,Google允许通过HTTP主机标头从google.com重定向到appspot.com。此网域由Google App Engine使用,该服务允许用户在Google的云平台上创建和托管网络应用程序。
这意味着有人可以创建一个简单的反射器脚本,将其托管在Google App Engine上,然后使用HTTP主机标题技巧将其位置从审查中隐藏。监控用户流量的用户只能看到到www.google.com的HTTPS请求,但这些请求会到达Google App Engine上的反射器脚本,并会转发到隐藏的目标位置。
Open Whisper Systems的创始人Moxie Marlinspike周三在一篇博文中表示:“今天的发布,对于拥有来自埃及或阿联酋国家代码的电话号码的Signal用户,启用了域前端。 “当这些用户发送Signal消息时,它看起来像是向www.google.com发出的正常HTTPS请求。要阻止Signal消息,这些国家/地区还必须阻止所有google.com。
即使审查员决定禁止Google,域前端实施也可以扩展为使用其他大型服务作为域前端。如果发生这种情况,强制禁止Signal将等同于阻止大部分互联网。
反审查功能当前存在于最新版本的Signal for Android。它也包括在iOS的应用程序的测试版,将很快在生产中发布。
开发人员还计划未来的改进,将允许应用程序自动检测审查,并切换到域正面,即使用户有来自一个国家,通常不存在审查的电话号码。这是为了涵盖那些用户旅行到其他国家的应用程序被阻止的情况。
信号被安全专家认为是最安全的消息服务之一。它的开源端到端加密协议也被其他流行的聊天应用程序,如Facebook Messenger和WhatsApp采纳。
虽然用户之间的通信是端到端加密的,但Signal应用程序使用服务器进行联系发现,并且这些可以被审查员阻止,以防止用户使用应用程序。
页:
[1]