uTLS 指纹泄露漏洞对主流代理工具造成威胁,可使GFW识别成功率大增
uTLS上的一个漏洞对于主流的代理工具造成了严重的威胁。该工具主要用于客户端哈希防篡改以模拟真实浏览器,但是有开发者发现该工具存在一个非常严重的指纹泄露漏洞。
有 50% 的概率,uTLS 会创造出一个矛盾的指纹:外部声称优先 $AES$,但 ECH 内部却用了 $ChaCha20$,因此将可以被立即识别为模仿浏览器。这一导致身份泄漏的漏洞存在于 2023.12 - 2025.10 之间的所有版本。
依赖 uTLS 库进行指纹模拟的代理工具受到影响,如 XRay fingerprint 默认设置为 chrome ,这将导致指纹泄露,需要手动修改为firefox或者其他的浏览器。
指纹泄露可被GFW利用从而极大地提高识别效率。虽然每个连接的泄露概率是50%,但代理工具会不断产生大量连接,因此对于GFW来说,识别率几乎可以达到100%。
uTLS上的一个漏洞对于主流的代理工具造成了严重的威胁。该工具主要用于客户端哈希防篡改以模拟真实浏览器,但是有开发者发现该工具存在一个非常严重的指纹泄露漏洞。
有 50% 的概率,uTLS 会创造出一个矛盾的指纹:外部声称优先 $AES$,但 ECH 内部却用了 $ChaCha20$,因此将可以被立即识别为模仿浏览器。这一导致身份泄漏的漏洞存在于 2023.12 - 2025.10 之间的所有版本。
依赖 uTLS 库进行指纹模拟的代理工具受到影响,如 XRay fingerprint 默认设置为 chrome ,这将导致指纹泄露,需要手动修改为firefox或者其他的浏览器。
指纹泄露可被GFW利用从而极大地提高识别效率。虽然每个连接的泄露概率是50%,但代理工具会不断产生大量连接,因此对于GFW来说,识别率几乎可以达到100%。