Araştırma: Mullvad’ın paylaşılan çıkış IP’leri hâlâ kullanıcı parmak izi oluşturmaya yardımcı olabilir
Mullvad'ın dönen IP'leri göründüğü kadar anonim olmayabilir
Yeni bir araştırma, kalabalık VPN adreslerinin olumsuz etkilerini azaltmak için tasarlanmış olan Mullvad VPN’in paylaşılan çıkış IP sisteminin, yine de kullanıcıları gizlilik açısından etkileyebilecek şekilde parmak izi çıkarmak için kullanılabileceğini öne sürüyor.
Mullvad, her sunucu için birden fazla çıkış IP'si sunması bakımından VPN sağlayıcıları arasında alışılmadık bir yerde duruyor. Bu, aynı sunucuya bağlanan iki kişinin genellikle farklı kamu IP adresleri altında web sitelerinde görünmesi anlamına geliyor. Bu düzenleme, özellikle VPN trafiğini agresif şekilde engelleyen veya hız sınırlaması uygulayan hizmetlerde, çok fazla kullanıcıyı tek bir IP arkasına sıkıştırmanın doğurduğu sorunlardan kaçınmak için düşünülmüş.
Ancak araştırma, atanan çıkış IP’sinin kullanıcının her bağlanışında rastgele seçilmediğini gösteriyor. Bunun yerine, pubkey olarak geçen kullanıcının WireGuard anahtarına dayanarak deterministik şekilde seçildiği anlaşılıyor; bu anahtar üçüncü taraf bir istemci kullanılmazsa 1 ila 30 gün arasında döner, üçüncü taraf istemci kullanıldığında ise hiç dönmeyebilir.
Sistemi test etmek için araştırmacı, bir public key’i tekrar tekrar değiştirdi ve dokuz sunucudan çıkış IP’leri topladı; bir gece içinde 3.650 pubkey için veri üretti. Bu, her sunucunun çıkış IP aralığını haritalamak için yeterliydi. Bu sunucular arasındaki olası kombinasyonlar 8,2 trilyondan fazla olsa da, gözlemlenen sonuçlar sadece 284 kombinasyona sıkıştı.
Araştırmacı, çıkış IP’lerini her sunucunun havuzundaki konumlara dönüştürdüğünde desen daha da çarpıcı hale geldi. 284 kombinasyon boyunca IP’ler, kendi havuzları içindeki aynı yüzdelik dilimlerde tutarlı şekilde yerleşti — bir durumda 81. yüzdelikte. Bu durum, Mullvad’ın rastgele herhangi bir IP seçmediğini, bunun yerine sunucular arasında koordineli şekilde bitişik çıkış IP’leri seçtiğini düşündürüyor.
cl-scl-wg-001 ve za-jnb-wg-002 adlı iki sunucu, gözlemlenen tüm kombinasyonlarda aynı IP indekslerini tekrar tekrar paylaştı. Araştırmacı, her ikisinin de havuz boyutlarının 11 olduğunu belirtiyor ve bunun muhtemel mekanizma olarak pubkey ya da tünel adresinin seed (tohum) ve havuz boyutunun bound (sınır) olarak kullanıldığı seed-based random number generator (tohum-temelli rastgele sayı üreteci) olduğunu işaret ediyor.
Bunun anlamı, Mullvad’ın çıkış IP’leri paylaşılıyor olsa bile, zaman içinde kullanıcıları tanımlamak veya izlemek için kullanılabilecek sabit bir desen oluşturabileceği yönünde.
Kaynaklar: