被广泛用于模拟真实浏览器指纹的 uTLS 库存在一个严重的指纹泄露漏洞,进而对主流的代理工具构成了严重威胁。
该漏洞会导致 uTLS 在模仿浏览器时,有 50% 的概率创造出一个矛盾的 TLS 指纹:即外部连接声称优先使用 $AES$ 加密,但其内部 ECH 功能却使用了 $ChaCha20$。这种矛盾的指纹组合在真实浏览器中绝不会出现,因此可以被立即识别。此漏洞存在于 2023年12月至2025年10月之间的所有 uTLS 版本。
依赖 uTLS 进行指纹模拟的代理工具均受此影响。例如,在 Xray 中 uTLS 功能 fingerprint 默认设置为 chrome,这会直接导致指纹泄露。用户需要手动将其修改为 firefox 或其他浏览器指纹以作规避。
此漏洞可被 GFW 等审查系统利用,从而极大地提高识别效率。虽然单个连接的泄露概率是50%,但由于代理工具会持续产生大量连接,审查系统识别出用户流量的成功率几乎可以达到100%。比较讽刺的是,如果你不使用 uTLS 伪装,GFW反而更难识别出代理流量,因此当前如果没有必要请勿开启 uTLS 伪装。
[消息等级 Level C2 · 简要]