งานวิจัยระบุว่า IP ทางออกที่แชร์ของ Mullvad ยังคงช่วยในการสร้างลายนิ้วมือผู้ใช้ได้
IP หมุนเวียนของ Mullvad อาจไม่เป็นนิรนามอย่างที่เห็น
งานวิจัยใหม่ชี้ว่า ระบบ IP ทางออกแบบแชร์ของ Mullvad ซึ่งออกแบบมาเพื่อลดผลกระทบจากที่อยู่ VPN ที่มีผู้ใช้หนาแน่น อาจยังคงถูกใช้เพื่อสร้างลายนิ้วมือผู้ใช้ในรูปแบบที่ส่งผลต่อความเป็นส่วนตัวได้
Mullvad มีความพิเศษเมื่อเทียบกับผู้ให้บริการ VPN รายอื่นตรงที่ให้ IP ทางออกหลายหมายเลขต่อเซิร์ฟเวอร์ ซึ่งหมายความว่าคนสองคนที่เชื่อมต่อกับเซิร์ฟเวอร์เดียวกันมักจะปรากฏต่อเว็บไซต์ด้วยที่อยู่สาธารณะที่ต่างกัน การตั้งค่านี้มีจุดประสงค์เพื่อหลีกเลี่ยงปัญหาที่เกิดจากการยัดผู้ใช้จำนวนมากไว้หลัง IP เดียว โดยเฉพาะกับบริการที่บล็อกหรือจำกัดการใช้งานของ VPN อย่างเข้มงวด
แต่การวิจัยระบุว่า IP ทางออกที่ถูกมอบให้นั้นไม่ได้ถูกเลือกแบบสุ่มทุกครั้งที่ผู้ใช้เชื่อมต่อ แต่ถูกเลือกอย่างกำหนดเชิงนิยามตามคีย์ WireGuard ของผู้ใช้ ซึ่งจะหมุนเวียนทุก 1 ถึง 30 วัน เว้นแต่จะใช้ไคลเอนต์ของฝ่ายสาม ซึ่งกรณีนี้อาจจะไม่หมุนเวียนเลย
เพื่อทดสอบระบบ นักวิจัยเปลี่ยนคีย์สาธารณะซ้ำๆ และเก็บรวบรวม IP ทางออกจากเก้าเซิร์ฟเวอร์ สร้างข้อมูลสำหรับคีย์สาธารณะ 3,650 คีย์ในช่วงข้ามคืน นั่นก็เพียงพอที่จะทำแผนที่ช่วง IP ทางออกของแต่ละเซิร์ฟเวอร์ แม้ว่าการผสมผสานที่เป็นไปได้ข้ามเซิร์ฟเวอร์เหล่านั้นจะรวมกันได้มากกว่า 8.2 ล้านล้าน แต่ผลลัพธ์ที่สังเกตได้กลับย่อลงเป็นเพียง 284 ชุดผสมเท่านั้น
รูปแบบยิ่งชัดเจนขึ้นเมื่อนักวิจัยเปลี่ยน IP ทางออกเป็นตำแหน่งภายในพูลของแต่ละเซิร์ฟเวอร์ ข้ามทั้ง 284 ชุดผสมนั้น IP มักจะตกอยู่ที่เปอร์เซ็นไทล์เดิมภายในพูลของตน — ในกรณีหนึ่งอยู่ที่เปอร์เซ็นไทล์ที่ 81 นั่นชี้ให้เห็นว่า Mullvad ไม่ได้เลือก IP แบบสุ่มจริงๆ แต่เลือก IP ที่อยู่ใกล้กันในลักษณะที่ประสานกันข้ามเซิร์ฟเวอร์
เซิร์ฟเวอร์สองเครื่อง cl-scl-wg-001 และ za-jnb-wg-002 แสดงดัชนี IP เดียวกันซ้ำๆ ข้ามทุกชุดที่สังเกตได้ นักวิจัยระบุว่า ทั้งสองมีขนาดพูลเป็น 11 บ่งชี้ถึงการใช้ตัวสร้างตัวเลขสุ่มแบบขึ้นกับค่าตัวเริ่มต้น (seed) เป็นกลไกที่น่าจะเป็นไปได้ โดยมีคีย์สาธารณะหรือที่อยู่ช่องเชื่อมต่อของผู้ใช้ทำหน้าที่เป็นค่าตัวเริ่มต้น และขนาดพูลทำหน้าที่เป็นขอบเขต
นัยสำคัญคือ แม้ว่า IP ทางออกของ Mullvad จะเป็นแบบแชร์ แต่ก็อาจยังสร้างรูปแบบที่คงที่ซึ่งสามารถใช้ระบุตัวตนหรือติดตามผู้ใช้ได้ตามกาลเวลา
แหล่งที่มา: