加密消息应用程序信号使用谷歌绕过审查

流行的信号安全消息传递应用程序的开发人员已开始使用Google“S域作为前面以隐藏其服务的流量并以SIDESTEP阻止尝试。

绕过在政府控制的互联网接入的国家的在线审查可能对用户非常努力。它通常需要使用虚拟专用网络（VPN）服务或类似于TOR的复杂解决方案，这也可以被禁止。

开放耳语系统，该公司开发信号 - 免费开源应用程序 - 最近在埃及和阿拉伯联合酋长国进行审查时，最近才面临此问题。一些用户报告称VPN，Apple的Facetime和其他语音过度IP应用程序也被阻止。

来自信号的开发人员的解决方案是实施称为审查规避技术，称为域Fronting，由加利福尼亚大学，伯克利大学，勇敢的新软件项目和Psiphon的研究人员描述了2015纸。

该技术涉及将请求发送到“前域”并使用HTTP主机标头触发重定向到其他域。如果通过HTTPS完成，此类重定向将是监视流量的某人的不可见，因为在协商HTTPS连接之后发送HTTP主机标题，因此是加密流量的一部分。

“在HTTPS请求中，目标域名显示在三个相关的位置：在DNS查询中，在TLS服务器名称指示（SNI）扩展和HTTP主机标题中，“研究人员在纸质中说。“通常，所有三个地方都出现相同的域名。然而，在域前面的请求中，DNS查询和SNI携带一个名称（“前域”），而HTTPS加密隐藏的HTTP主机标题，则携带另一个（隐蔽，禁止的目的地）。“

他们的研究揭示了许多云服务提供商和内容交付网络允许HTTP主机标题重定向，包括Google，Amazon CloudFront，Amazon S3，Azure，CloudFlare，速度和Akamai。但是，其中大多数只允许它适用于属于客户的域，所以必须成为使用这种技术的客户。

例如，谷歌允许通过从Google.com从Google.com重定向到appspot.com。Google App Engine使用该域名，该服务允许用户在Google云平台上创建和主持Web应用程序的服务。

这意味着有人可以创建一个简单的反射器脚本，在Google App引擎上托管它，然后使用HTTP主机标题技巧隐藏其从审查机的位置。监视用户流量的人只会看到HTTPS请求转到www.google.com，但这些请求将在Google App引擎上到达反射器脚本，并将转发到隐藏的目的地。

“通过今天的版本，为博客或阿联酋的电话号码或阿联酋提供电话号码的信号用户启用了域名fronting，”开放的耳语系统创始人Moxie Marlinspike在博客文章中表示。“当这些用户发送信号消息时，它将看起来像是www.google.com的正常HTTPS请求。要阻止信号消息，这些国家也必须阻止所有Google.com。“

即使审查员决定禁止谷歌，也可以扩展域名前部的实现，以使用其他大规模服务作为域前面。如果发生这种情况，强制执行禁止信号将相当于阻止互联网的非常大的部分。

反审查功能存在于Android的最新版本中。它还包含在IOS的App应用程序中，即将在生产中发布。

开发人员还规划了未来的改进，即使用户从通常存在审查的国家/地区的国家/地区提供电话号码，也可以自动检测审查员并将其切换到域名面前。这旨在涵盖用户前往应用程序被阻止的其他国家/地区的案例。

安全专家认为信号是最安全的消息服务之一。它的开源，端到端加密协议也被Facebook Messenger和WhatsApp等其他流行的聊天应用程序采用。

虽然用户之间的通信是加密端到端的，但信号应用程序使用服务器进行联系人发现，并且可以通过审查员阻止这些服务器，以防止用户使用该应用。