当 Apple 在 2021 年 6 月的全球开发者大会 (WWDC)上推出 iCloud+ 时,其主要功能之一是名为Private Relay的安全 VPN。然而,一份新的报告称,该服务一直在泄露 MacOS 上的用户数据,这可能意味着它不像以前想象的那么安全。
Private Relay 的工作原理是在您浏览 Internet 时混淆各种识别信息。它会加密您的数据,将您的页面请求与您的 IP 地址分开,然后为您分配一个欺骗性的 IP 地址。这个想法是任何人(包括 Apple)都无法看到您正在访问的网站。
但是,它的防御似乎存在裂缝。 VPN 服务 Mullvad 提出了质疑,声称 Private Relay 会导致安装它的系统忽略网络防火墙规则。发生这种情况时,Private Relay 可能会泄露系统正在与 Apple 服务器通信。
这可能看起来不多,但这样做的结果是它向您的本地网络和您的 ISP 发出信号,表明您可能正在使用 Mac 计算机。这不是最具破坏性的信息,但如果一个坏人正在窥探您的网络流量,这可能会给他们提供攻击线的想法。
给苹果打电话回家
深入研究细节后,Mullvad 发现 QUIC 数据(即来自旨在使网络流量更快、更安全的协议的数据)将其测试计算机留在了 Private Relay VPN 隧道之外。换句话说,这些数据不知何故逃脱了 Private Relay 的安全连接,并泄漏到了外界。禁用 Private Relay 可以阻止泄漏。
虽然 Mullvad 无法确定泄露了哪些数据(毕竟是加密的),但任何数据都泄露的事实令人担忧。该报告的作者解释说,“我们认为 [泄露的信息] 只是苹果公司的一些心跳信号。”如前所述,这可能会将用户的系统标记为其他网络用户。
Mullvad 的报告称,目前,防止这种数据泄露的唯一方法是完全禁用 Private Relay。在 Apple 修补漏洞之前,如果您担心的话,这可能是最好的做法。
同时,如果您正在寻找 Private Relay 的替代品,我们整理了一份最佳 VPN 服务列表,可确保您的数据安全并受到保护。