Viber即时通讯软件存在TLS漏洞，Cloak代理模式失效并导致用户暴露

乐天 Viber 在代理混淆功能的实现中存在一处安全漏洞，该漏洞会导致本应被隐藏的网络流量可被网络监控系统轻易识别。

此缺陷会削弱应用绕过网络审查的能力，可能导致在受限网络中 Viber 通信被直接封锁。

该漏洞编号为 CVE-2025-13476，安全评级为高危，由 CERT 协调中心（CERT/CC）发布公告披露。公告显示，该问题影响：

该漏洞源于 Viber 在启用 Cloak 代理时TLS 握手过程存在缺陷。

Cloak 模式的设计目标是将代理或 VPN 流量伪装成普通浏览器 HTTPS 连接，从而隐藏代理行为。但 CERT/CC 发现，其实际实现会生成固定且高度可预测的 TLS ClientHello 指纹，扩展字段种类极少。

这导致其流量特征明显异于正常浏览器行为，极易被识别。

由于这一固定不变的指纹特征，网络运营商、政府机构及企业安全设备普遍使用的深度包检测（DPI）系统，可稳定识别出正在使用 Viber Cloak 代理模式的连接。

一旦被识别，相关流量可被精准封锁或限流，使该功能绕过网络限制的设计目标完全失效。

乐天 Viber 是由日本跨国科技与电商企业乐天集团旗下的主流即时通讯与 VoIP 平台，为全球数亿用户提供加密消息、音视频通话及群组通信服务。

在部分网络政策严格的地区，用户依赖 Cloak 模式 等代理配置来维持通讯服务的可用性。

CERT/CC 警告称，受影响用户会误以为流量已被隐藏，而实际并非如此，应用本身不会提示混淆机制已失效。

在对通讯软件存在严格过滤的环境中，该漏洞可让网络管理员或审查机构快速检测并封锁 Viber 通信，可能导致试图绕过限制的用户无法正常使用服务。

CERT/CC 建议用户将应用升级至已修复 TLS 握手实现的版本，具体要求如下：

同时建议 Windows 用户开启自动更新，确保后续能及时防御新的安全问题。

在完成系统更新前，处于高审查环境下的用户应假定：Cloak 代理流量可被网络监控工具识别并封锁，相关绕过行为可能暴露。