Другие новости

Приложение для обмена шифрованными сообщениями Signal использует Google для обхода цензуры

23.12.2016 | 01:23 Экономика

Приложение направляет запросы через серверы Google, чтобы затруднить их блокировку.

Разработчики популярного приложения Signal, предназначенного для безопасного обмена сообщениями, начали использовать домен Google в качестве прикрытия, чтобы скрыть трафик своего сервиса и обходить попытки блокировки.

Обход онлайн-цензуры в тех странах, где доступ в Интернет контролируется правительством может оказаться сложным для пользователей. Это, как правило, требует использования сервисов VPN или таких комплексных решений, как Tor, которые тоже могут быть запрещены.

Компания Open Whisper Systems, разработавшая бесплатное приложение с открытым исходным кодом Signal, столкнулась с этой проблемой, когда доступ к ее сервису начал подвергаться цензуре в Египте и Объединенных Арабских Эмиратах. Некоторые пользователи сообщили, что VPN, Apple FaceTime и другие приложения IP-телефонии также были заблокированы.

Решение от разработчиков Signal реализует метод обхода цензуры, известный как domain fronting, который был описан в 2015 году в работе исследователей из Калифорнийского университета Беркли.

Методика включает в себя отправку запросов на «лицевой домен», а затем, с помощью заголовка HTTP хоста, перенаправление на другой домен. Если все сделано через HTTPS, такое перенаправление будет невидимым для того, кто мониторит трафик, так как заголовок HTTP-узла отправляется после того, как соединение HTTPS согласовано и, следовательно, является частью зашифрованного трафика.

«В запросе HTTPS доменное имя назначения появляется в трех местах: в запросе DNS, в расширении TLS Server Name Indication (SNI) и в заголовке HTTP хоста», пишут в своей статье исследователи. «Как правило, одно и то же доменное имя фигурирует во всех трех местах.
Однако, в запросе фронтального домена, DNS и SNI используют одно имя («front domain»), в то время как заголовок HTTP Host, скрытый от цензора HTTPS шифрованием, содержит другое (скрытое, запрещенное место назначения)».

Их исследование показало, что многие провайдеры облачных сервисов и поставщики контента разрешают перенаправление заголовка HTTP хоста, включая Google, Amazon CloudFront, Amazon S3, Azure, CloudFlare, Fastly и Akamai. Тем не менее, большинство из них позволяют это для доменов, которые принадлежат их клиентам, поэтому, чтобы использовать эту технику необходимо стать клиентом.

Google, например, позволяет перенаправление через HTTP-заголовок хоста с google.com на appspot.com. Этот домен используется Google App Engine — сервисом, который позволяет пользователям создавать и хостить веб-приложения на облачной платформы Google.

Это означает, что кто-то может создать простой сценарий-рефлектор, разместить его на Google App Engine, а затем использовать трюк с HTTP-заголовком хоста, чтобы скрыть свое местоположение от цензоров. Мониторящие пользовательский трафик увидят только HTTPS запросы на google.com, но эти запросы попадут на сценарий-рефлектор на Google App Engine, и будут перенаправлены к скрытому месту назначения.

Даже если цензоры решат запретить Google, реализация домен-фронтинга может быть расширена, чтобы использовать другие крупномасштабные сервисы в качестве доменных фронтов. Если это произойдет, запрет на использование Signal будет эквивалентом блокировки очень большой части Интернета.

Функция анти-цензуры присутствует в последней версии Signal для Android. Она также входит в бета-версию приложения для iOS, финальный релиз которого выйдет в ближайшее время.

Разработчики также планируют будущие усовершенствования, которые позволят приложению обнаруживать цензуру автоматически и переключиться на домен-фронтинг, даже если у пользователя номер телефона из страны, где цензуры обычно нет. Это предназначено для тех случаев, когда пользователи путешествуют в другие страны, в которых приложение блокируется.

Signal рассматривается экспертами в области безопасности в качестве одного из самых надежных сервисов обмена мгновенными сообщениями. Его протокол end-to-end шифрования с открытым кодом также был принят такими популярными приложениями, как Facebook Messenger и WhatsApp.

В то время как связь между пользователями шифруется из конца в конец, приложение Signal использует серверы для обнаружения контактов, и они могут быть заблокированы цензорами, чтобы запретить пользователям использовать данное приложение.