- اكتشف أحد الباحثين أن عنوان IP الخاص بمخرج WireGuard الخاص بـ Mullvad قد يكون قادرًا على أخذ بصمات الأصابع
- أكد المؤسس المشارك Mullvad وجود تصحيح قادم لحل أي مشكلات
- سيقوم Mullvad أيضًا بإعادة تقييم ما إذا كانت السلوكيات المقصودة مقبولة أم لا
تستجيب Mullvad VPN، المزود الذي يحظى بتقدير كبير لموقفه الصارم بشأن الخصوصية وسياسة عدم الاحتفاظ بالسجلات، للادعاءات القائلة بأن إطار عمل تعيين عنوان IP الخاص به يمكن استخدامه لتتبع المستخدمين الفرديين.
تم الكشف عن هذه المشكلة من قبل باحث أمني مستقل يعرف باسم “tmctmt”. وجد أن طريقة Mullvad لتخصيص عناوين IP العامة لاتصالات WireGuard ليست عشوائية تمامًا. بدلاً من تعيين عنوان IP جديد في كل مرة تقوم فيها بالاتصال، يرتبط عنوان IP الناتج بشكل حاسم بمفتاح WireGuard الفريد الخاص بك.
نظرًا لأن هذه “البذرة” الرياضية الداخلية تظل ثابتة حتى يتم تغيير المفتاح، فإن التنقل بين خوادم Mullvad المختلفة يمكن أن يؤدي إلى مجموعة من عناوين IP التي يمكن التعرف عليها. ومن خلال تحليل سجلات IP هذه، يمكن لمسؤولي المنتدى أو موقع الويب ربط اتصالات مستخدمين مختلفة بنفس الجهاز بنسبة تزيد عن 99% من اليقين.
المؤسس المشارك والمؤسس المشارك لشركة Mole Fredrik Strömberg بسرعة وجد في تقرير لموقع Hacker News، جادل بأن: “بعض جوانب السلوك الموصوفة هي كما أردنا، بينما البعض الآخر ليس كذلك”.
يؤكد سترومبيرج أنه يتم تنفيذ إصلاح أي من السلوكيات غير المقصودة بشكل نشط، مضيفًا “سنعيد أيضًا تقييم ما إذا كانت السلوكيات المقصودة مقبولة أم لا”.
تواصلت TechRadar أيضًا مع Mullvad مباشرةً للحصول على مزيد من التعليقات.
ميزة أو خطأ؟
على عكس المنافسة التي تجمع آلاف المستخدمين في مكان واحد عنوان IP، يقوم Mullvad بتعيين عناوين IP متعددة للمخرجات لكل خادم لمنع اختبارات CAPTCHA المزعجة وحدود الأسعار.
اختبر الباحث هذا النظام من خلال النظر في 3650 مفتاحًا عامًا على تسعة خوادم مختلفة. على الرغم من وجود أكثر من 8.2 تريليون مجموعة عناوين IP محتملة، إلا أن جميع المفاتيح التي تم إنشاؤها أدت إلى 284 نمطًا مختلفًا فقط من عناوين IP.
باستخدام “مُقدِّر التمهيد” المخصص، أظهر الباحث أن الجمع بين عناوين IP الأولية يمكن أن يؤدي إلى تضييق عدد المستخدمين إلى مجموعة تضم حوالي 340 شخصًا (بافتراض 100000 مستخدم نشط). على الرغم من أن هذا لا يتحقق فورًا من اسمك الحقيقي، إلا أنه يوفر بيانات أكثر من كافية لربط حسابات أو اتصالات متعددة.
الرد على أخبار هاكر تحت اسم المستخدم “kfreds”، لاحظ سترومبيرج بسرعة أن سبب الواجهة الخلفية لم يكن تمامًا كما افترض الباحث، ولكن تم التأكيد على اتخاذ الإجراء.
“السبب ليس تمامًا كما هو موضح في منشور المدونة. فيما يتعلق بالإجراءات المضادة، فإننا نختبر بالفعل بعض السلوك غير المقصود على مجموعة فرعية من بنيتنا التحتية. إذا حاول أي منكم إعادة إنتاج النتائج من منشور المدونة، فقد تحصل على نتائج مضللة في غضون يوم واحد،” أشار سترومبرج.
وطرحت الشركة مؤخرًا تحديثات لجعل تطبيق iOS الخاص بها أكثر أمانًا، ولكن تعيين عنوان IP على مستوى الخادم يؤثر على المستخدمين على جميع الأنظمة الأساسية. في حين أن Mullvad يعالج المراوغات غير المقصودة في البنية التحتية، أشار سترومبرج إلى أنهم “سيعيدون تقييم ما إذا كانت السلوكيات المقصودة مقبولة أم لا”، ويتعاملون مع المشكلة على أنها “مفاضلة بين جوانب متعددة من الخصوصية وجوانب متعددة من تجربة المستخدم”.
ترك سترومبيرج أيضًا ملاحظة لطيفة لصائدي الأخطاء في المستقبل: “أخيرًا، لأولئك منكم الذين يجرون بحثًا أمنيًا: إذا وجدت مشكلة أمنية أو خصوصية، فيرجى التفكير في إخطار المشرف/البائع قبل نشر النتائج، حتى لو كنت تنوي نشرها على الفور.”
إذا كنت أحد مستخدمي Mullvad الحاليين، فيمكنك بسهولة تقليل مخاطر التتبع هذه اليوم. ينصح الباحث بتجنب التبديل السريع بين الخوادم وتسجيل الخروج والدخول مرة أخرى إلى تطبيق Mullvad لفرض تغيير يدوي لمفتاح WireGuard.
