商用VPN服務一向以隱私性和匿名性著稱?？谔栯m然喊的美，但事實并非如此。倫敦瑪麗女王學院和羅馬大學的研究人員表明，大多數(shù)使用VPN服務的用戶很容易遭受DNS劫持從而泄露IP信息。

大多數(shù)VPN服務商缺乏IPv6數(shù)據(jù)保護

研究人員搭建了一個測試環(huán)境，分析了其基礎架構和14個最流行的商用VPN服務商的隧道技術，服務商包括IPVanish、StrongVPN、Astrill、ExpressVPN。測試結果表明，有10家服務商存在IPv6數(shù)據(jù)泄露的風險。除此之外，研究人員還發(fā)現(xiàn)有13家VPN服務商存在IPv6 DNS劫持攻擊的風險。

??

上面圖片來源為他們的分析報告：《VPN的杯中窺事：商業(yè)VPN客戶端的IPv6的泄露和DNS劫持》

漏洞風險細節(jié)

分析報告中指出：

“我們的工作開始只是一般性探索，但我們很快發(fā)現(xiàn)一個嚴重問題，IPv6的流量數(shù)據(jù)泄露在大多數(shù)VPN服務商中是非常普遍的。

在許多情況下，我們發(fā)現(xiàn)客戶端的IPv6流量數(shù)據(jù)在原生接口就被全部泄露了。”

研究人員稱，強烈的探索欲讓他們后來又發(fā)現(xiàn)了兩種DNS劫持攻擊，黑客由此可以直接獲取受害者的全部流量。

他們補充道：

“這個的漏洞產生的原因是因為所有的VPN使用的都是IPv4路由表，他們往往會忽略IPv6路由表。IPv6流量數(shù)據(jù)重定向進入隧道時，并沒有添加任何規(guī)則。這會導致IPv6流量數(shù)據(jù)不走VPN虛擬接口那條通道。”

研究意義與推廣

幾年前這其實并不是一個嚴重的問題，但現(xiàn)在隨著IPv6使用量的加大，他們研究所得可能會成為一個普遍性風險。但由于當今VPN服務的大部分用戶是非專業(yè)人士，這就使得他們很難去宣傳VPN存在的安全風險，同時也會受到相關利益廠商的阻礙?！?/p>

更多擁有隱私意識的客戶可能會支持VPN服務商采取積極主動的措施，爭取對VPN服務和客戶端進行安全加固。