wycieki webrtc


Podczas omawiania prywatności online i sieci VPN często pojawia się temat wycieków i luk w zabezpieczeniach WebRTC.

Podczas gdy problem WebRTC jest często omawiany z usługami VPN, w rzeczywistości jest to podatność na przeglądarki internetowe - Przeglądarki Firefox, Opera, Chrome, Brave, Safari i Chromium.

Czym jest WebRTC?

WebRTC to skrót od „Web Real-Time Communication”. Zasadniczo pozwala to na czat głosowy, wideo i udostępnianie P2P w przeglądarce (komunikacja w czasie rzeczywistym) bez dodawania dodatkowych rozszerzeń przeglądarki - szerzej opisane na Wikipedii tutaj.

Co to jest wyciek WebRTC?

Wyciek WebRTC ma miejsce, gdy Twój prawdziwy adres IP jest ujawniany za pośrednictwem funkcji WebRTC przeglądarki. Ten wyciek może spowodować zanonimizację użytkownika za pośrednictwem interfejsów API WebRTC, nawet jeśli sieć VPN działa poprawnie.

Jeśli nie zabezpieczyłeś się przed wyciekiem WebRTC w przeglądarce, każda odwiedzana witryna może uzyskać Twój prawdziwy adres IP za pośrednictwem żądań WebRTC STUN. To poważny problem.

Chociaż funkcja WebRTC może być przydatna dla niektórych użytkowników, stanowi zagrożenie dla osób korzystających z VPN i starających się zachować anonimowość online bez ujawnienia ich prawdziwego adresu IP.

Luka w zabezpieczeniach WebRTC

Podstawową luką w zabezpieczeniach WebRTC jest to, że Twój prawdziwy adres IP może zostać ujawniony za pośrednictwem żądań STUN w przeglądarkach Firefox, Chrome, Opera i Brave, Safari oraz Chromium, nawet gdy korzystasz z dobrej sieci VPN.

Daniel Roesler ujawnił tę lukę w 2015 roku na swojej stronie GitHub, gdzie stwierdził:

Firefox i Chrome wdrożyły WebRTC, które umożliwiają wysyłanie żądań do serwerów STUN, które zwracają lokalne i publiczne adresy IP dla użytkownika. Te wyniki żądania są dostępne w javascript, dzięki czemu można teraz uzyskać lokalne i publiczne adresy IP w javascript.

Ponadto te żądania STUN są wysyłane poza normalną procedurą XMLHttpRequest, więc nie są widoczne w konsoli programisty ani mogą być blokowane przez wtyczki takie jak AdBlockPlus lub Ghostery. To sprawia, że ​​tego rodzaju żądania są dostępne do śledzenia online, jeśli reklamodawca skonfiguruje serwer STUN z domeną wieloznaczną.

Zasadniczo oznacza to, że każda witryna może po prostu wykonać kilka poleceń JavaScript, aby uzyskać prawdziwy adres IP za pośrednictwem przeglądarki internetowej.

Czy VPN ochroni mnie przed wyciekiem WebRTC?

Odpowiedź: może.

Podobnie jak w przypadku pobierania odcisków palców w przeglądarce, problem WebRTC stanowi lukę w zabezpieczeniach przeglądarek internetowych. Jako taki najlepiej rozwiązać główną przyczynę problemu poprzez naprawienie podatności za pomocą przeglądarki, które omówimy poniżej.

Niemniej jednak istnieją niektóre sieci VPN chroniące przed lukami w zabezpieczeniach WebRTC. Testowałem dwie sieci VPN, które chronią użytkowników przed wyciekiem WebRTC za pomocą reguł zapory:

  • - Klienci VPN Perfect Privacy są skonfigurowani do ochrony przed lukami w zabezpieczeniach WebRTC. Przetestowałem to w systemie Windows i Mac OS.
  • - ExpressVPN niedawno zaktualizował swoje oprogramowanie, aby dodatkowo chronić użytkowników przed wyciekami WebRTC. Przetestowałem zaktualizowane oprogramowanie w systemie Windows i Mac OS i zweryfikowałem, że chroni przed wyciekiem WebRTC.

Uwaga - Biorąc pod uwagę, że podatność na WebRTC jest trudnym problemem, nadal najlepiej jest naprawić problem w przeglądarce, zamiast polegać wyłącznie na VPN do ochrony.

Rozwiązania wycieku WebRTC

Oto trzy różne opcje radzenia sobie z problemem WebRTC:

1. Wyłączyć WebRTC w przeglądarce (Firefox) i używaj tylko przeglądarek z wyłączoną funkcją WebRTC. (Instrukcje są poniżej.)

2. Użyj przeglądarki dodatki lub rozszerzenia jeśli wyłączenie WebRTC nie jest możliwe. (Wyłączenie WebRTC nie jest możliwe w przeglądarkach Chrome i Chromium, takich jak Brave).

Uwaga: dodatki i rozszerzenia do przeglądarki może nie być w 100% skuteczny. Nawet w przypadku dodatków w przeglądarce nadal istnieje luka umożliwiająca ujawnienie prawdziwego adresu IP za pomocą odpowiedniego kodu STUN.

3. Użyj sieci VPN, która chroni przed wyciekami WebRTC, takich jak lub .

Poprawki i dodatki WebRTC

Poniżej znajdują się różne poprawki dla różnych przeglądarek.

Firefox WebRTC

Wyłączenie WebRTC jest bardzo proste w Firefoksie. Najpierw wpisz about: config do paska adresu URL i naciśnij wchodzić. Następnie zaakceptuj komunikat ostrzegawczy i kliknij „Akceptuję ryzyko!

firefox webrtc wyłącz

Następnie w polu wyszukiwania wpisz „media.peerconnection.enabled„. Kliknij dwukrotnie nazwę preferencji, aby zmienić wartość na „fałszywy„.

przeglądarka firefox webrtc

Otóż ​​to.

WebRTC jest całkowicie wyłączony w Firefoksie i nie musisz się martwić wyciekami WebRTC.

Chrome WebRTC (komputer stacjonarny)

Ponieważ WebRTC nie można wyłączyć w Chrome (komputer), dodatki są jedyną opcją (dla tych, którzy nie chcą po prostu zrezygnować z korzystania z Chrome).

Jak wspomniano powyżej, ważne jest, aby pamiętać, że są to dodatki do przeglądarki może nie być w 100% skuteczny. Innymi słowy, w niektórych okolicznościach nadal możesz być narażony na wycieki adresu IP WebRTC. Niemniej jednak oto kilka dodatków, które warto rozważyć:

  • Zapobieganie wyciekom WebRTC
  • uBlock Origin

Uwaga: W przeciwieństwie do Firefoksa, te rozszerzenia zmieniają tylko ustawienia bezpieczeństwa i prywatności WebRTC.

Innym oczywistym rozwiązaniem jest zaprzestanie używania Chrome.

Chrome WebRTC (mobilny)

Na urządzeniu z Androidem otwórz adres URL chrome: // flags / # disable-webrtc w Chrome.

Przewiń w dół i znajdź „Nagłówek źródłowy WebRTC STUN” - a następnie wyłącz go. Dla bezpieczeństwa można również wyłączyć opcje sprzętowego kodowania / dekodowania wideo WebRTC, choć może to nie być konieczne.

webrtc android

Uwaga: Użytkownicy Androida mogą również zainstalować Firefoksa i wyłączyć WebRTC, wykonując powyższe kroki.

Opera WebRTC

Podobnie jak w przypadku Chrome, jedynym sposobem (na razie) usunięcia luki w zabezpieczeniach WebRTC w Operze jest użycie rozszerzenia.

Najpierw pobierz rozszerzenie „WebRTC Leak Prevent” do swojej przeglądarki Opera.

Następnie w Zaawansowane opcje dla rozszerzenia WebRTC Leak Prevent wybierz „Wyłącz UDP bez proxy (wymuś proxy)”, A następnie kliknij Zastosuj ustawienia.

wyłącz operę webrtc

Ponownie, ponieważ jest to rozwiązanie przedłużające, może nie być w 100% skuteczne.

Odważny WebRTC

Ponieważ przeglądarka Brave oparta jest na Chromium, jest również podatna na wycieki adresów IP WebRTC, nawet gdy korzystasz z VPN.

Istnieją dwa sposoby blokowania WebRTC w przeglądarce Brave:

Metoda 1) Za pomocą ochrony odcisków palców - przejdź do Preferencje > Tarcze > Ochrona odcisków palców > a następnie wybierz Zablokuj wszystkie odciski palców. To powinno rozwiązać wszystkie problemy z WebRTC - przynajmniej w wersjach Brave na komputery stacjonarne (Windows, Mac OS i Linux).

dzielny blok webrtc

Metoda 2) Idź do Preferencje > Bezpieczeństwo > Zasady postępowania z IP WebRTC > a następnie wybierz Wyłącz UDP bez proxy. Powinno to również blokować wycieki IP WebRTC w przeglądarce Brave.

Uwaga: Widziałem skargi od użytkowników, którzy twierdzą, że WebRTC nie blokuje się na iOS, pomimo wprowadzenia powyższych zmian. Wydaje się, że odważni programiści potwierdzili ten problem i pracują nad poprawką.

Safari WebRTC

Wycieki z WebRTC tradycyjnie nie stanowiły problemu w przeglądarkach Safari (w systemach Mac OS i iOS). Jednak Apple wprowadza teraz WebRTC do Safari, chociaż technicznie nadal jest to „eksperymentalny" funkcja. Niemniej jednak rozsądnie byłoby wyłączyć WebRTC w Safari ze względów prywatności. Oto jak:

  1. Kliknij „Safari” na pasku menu
  2. Następnie kliknij Preferencje
  3. Kliknij kartę „Zaawansowane”, a następnie u dołu zaznacz pole „Pokaż menu rozwijania na pasku menu”
  4. Teraz kliknij „Develop” na pasku menu. W opcji „WebRTC”, jeśli zaznaczono opcję „Włącz starszą wersję interfejsu API WebRTC”, kliknij ją, aby wyłączyć ta opcja (bez znacznika wyboru).

webrtc wycieka safari

To skutecznie wyłączy WebRTC w Safari.

Test pod kątem wycieków WebRTC

Ok, teraz, kiedy wyłączyłeś lub zablokowałeś WebRTC w swojej przeglądarce, możesz uruchomić kilka testów.

Jak wspomniano w moim przewodniku dotyczącym testowania sieci VPN, istnieją trzy różne witryny testowe dla WebRTC:

  • Idealny test prywatności WebRTC (to narzędzie sprawdzi, czy masz przeciek WebRTC, a także zapewni szczegółowe wyjaśnienie wycieków WebRTC na dole strony).
  • BrowserLeaks Test WebRTC (kolejny test WebRTC, który działa dobrze, zawiera również pomocne informacje o WebRTC).
  • ipleak.net (jest to narzędzie testowe typu „wszystko w jednym”, w celu uwzględnienia wycieków WebRTC)

Uwaga: Jeśli widzisz lokalny adres IP, nie oznacza to wycieku. Wyciek WebRTC będzie miał tylko publiczny adres IP.

Tutaj przeprowadzam test w przeglądarce Firefox z:

przeciek expressvpn webrtc

Możesz zobaczyć klienta ExpressVPN po prawej stronie, a wyniki testu po lewej. Brak przecieków!

Wnioski na temat wycieków WebRTC i luk w przeglądarce

Luka wycieku WebRTC podkreśla bardzo ważną koncepcję dla osób poszukujących anonimowości i bezpieczeństwa online za pomocą różnych narzędzi do ochrony prywatności.

Przeglądarka jest zwykle słabym ogniwem w łańcuchu.

Problem z WebRTC pokazuje nam również, że w naszej konfiguracji prywatności mogą istnieć inne luki, o których nawet nie jesteśmy świadomi. (Problem WebRTC był znany publicznie dopiero w 2015 r.)

Innym problemem, o którym należy pamiętać, jest odciski palców przeglądarki. To właśnie wtedy można użyć szczegółowych ustawień i wartości w przeglądarce i systemie operacyjnym, aby stworzyć niepowtarzalny odcisk palca, a tym samym śledzić i identyfikować użytkowników. Na szczęście istnieją również skuteczne rozwiązania tego problemu.

Wreszcie, istnieje wiele różnych bezpiecznych i prywatnych przeglądarek, z których wiele można dostosować do własnych, unikalnych potrzeb.

Bądź bezpieczny!

James Rivington Administrator
Sorry! The Author has not filled his profile.
follow me