七舅姥爷

统计数据

1

文章

0

粉丝

0

获赞

8

阅读

1周前

uTLS 曝出指纹泄露漏洞：可被GFW利用高效识别代理流量被广泛用于模拟真实浏览器指纹的 uTLS 库存在一个严重的指纹泄露漏洞，进而对主流的代理工具构成了严重威胁。该漏洞会导致 uTLS 在模仿浏览器时，有 50% 的概率创造出一个矛盾的 TLS 指纹：即外部连接声称优先使用 AES 加密，但其内部 ECH 功能却使用了 ChaCha20。这种矛盾的指纹组合在真实浏览器中绝不会出现，因此可以被立即识别。此漏洞存在于 2023年12月至2025年10月之间的所有 uTLS 版本。依赖 uTLS 进行指纹模拟的代理工具均受此影响。例如，在 Xray 中 uTLS 功能无法被关闭，且其 fingerprint 默认设置为 chrome，这会直接导致指纹泄露。用户需要手动将其修改为 firefox 或其他浏览器指纹以作规避。此漏洞可被 GFW 等审查系统利用，从而极大地提高识别效率。虽然单个连接的泄露概率是50%，但由于代理工具会持续产生大量连接，审查系统识别出用户流量的成功率几乎可以达到100%。比较讽刺的是，如果你不使用 uTLS 伪装，GFW反而很难识别代理流量，因此如果没有必要请勿开启 uTLS 伪装。

#uTLS漏洞 #指纹泄露 #GFW识别 #代理流量 #网络审查