研究称 Mullvad 的共享出口 IP 仍可能用于指纹识别用户
Mullvad 的动态 IP 可能没有看起来那么匿名
新的研究表明,Mullvad VPN 的共享出口 IP 系统——该系统旨在减少拥挤 VPN 地址带来的缺点——仍然可能被用来指纹识别用户,从而影响隐私。
Mullvad 在 VPN 提供商中比较特殊,提供每台服务器多个出口 IP。这意味着两个连接到同一服务器的人在网站上通常会显示为不同的公网 IP。该设置旨在避免将太多用户挤在一个 IP 后面导致的问题,尤其是在那些积极封锁或对 VPN 流量进行速率限制的服务上。
但研究表明,分配到的出口 IP 并不是每次连接时随机选择的。相反,出口 IP 是基于用户的 WireGuard 密钥确定性地选择的,该密钥会在 1 到 30 天之间旋转一次,除非使用第三方客户端,在那种情况下它可能永远不会旋转。
为测试该系统,研究者反复更改一个公钥并从九台服务器收集出口 IP,短短一夜间就为 3,650 个公钥生成了数据。这足以绘制出每台服务器的出口 IP 范围。尽管这些服务器之间可能的组合加起来超过 8.2 万亿,但观测到的结果却收敛到只有 284 种组合。
当研究者把出口 IP 转换为每个服务器地址池中的位置时,这一模式更加显著。在这 284 种组合中,IP 在各自地址池内始终落在相同的百分位——在一个案例中是第 81 百分位。这表明 Mullvad 并不是随机选择任何 IP,而是在服务器之间以某种协调的方式选择相邻的出口 IP。
有两台服务器,cl-scl-wg-001 和 za-jnb-wg-002,在所有观测到的组合中反复共享相同的 IP 索引。研究者表示,两者的池大小均为 11,这指向基于种子的随机数生成器作为可能机制,其中 pubkey 或隧道地址充当种子,池大小作为上界。
其含义是,尽管 Mullvad 的出口 IP 是共享的,但它们仍可能形成一种稳定的模式,从而被用来随时间识别或跟踪用户。
来源: