Через дыру в безопасности WebRTC утечки реальных IP-адресов

[Carding 4 Carders]

WebRTC - это широко распространенная технология, которая дает утечку IP-адресов, даже если они защищены VPN.​

Масштабный эксплойт осуществляется посредством WebRTC (сокращение от Web Real-Time Communication) и браузеров, которые его поддерживают: Google Chrome (и других браузеров, построенных на Chromium, извините, Brave!), Firefox, Opera, Vivaldi, Microsoft Edge, и совсем недавно Safari.

Угроза позволяет веб-сайтам видеть ваши уникальные IP-адреса даже с помощью VPN, но для большинства браузеров есть решения и обходные пути.

Что такое WebRTC?​

Если вы не знакомы с WebRTC, это технология, которая упрощает общение в реальном времени через веб-браузер. WebRTC - это протокол с открытым исходным кодом, который поддерживает межбраузерные приложения для голосовых вызовов, видеочата и обмена файлами. Это широко поддерживаемый плагин, который используется в самых популярных настольных веб-браузерах и мобильных операционных системах, за исключением Internet Explorer и TOR Browser.

Как происходит утечка IP-адресов?​

С дырой в безопасности WebRTC веб-сайт может получать доступ к информации об IP-адресах с серверов STUN.

Серверы STUN (Session Traversal Utilities for NAT) используются VPN для преобразования вашего истинного локального IP-адреса в новый общедоступный IP-адрес и наоборот. Для правильной работы STUN-сервер поддерживает таблицу как общедоступного IP-адреса вашей VPN, так и вашего локального («реального») IP-адреса во время подключения. К сожалению, ваш «настоящий» IP-адрес, выданный VPN, можно извлечь из этих запросов с помощью JavaScript. Между тем, домашние беспроводные маршрутизаторы повторяют аналогичную функцию по преобразованию частных IP-адресов в общедоступные и обратно.

Исследователь из Сан-Франциско Дэниел Рослер разместил демонстрацию, чтобы проиллюстрировать, как работает уязвимость. Хотя в демонстрации Рослера изначально утверждалось, что уязвимость браузера нельзя исправить, есть несколько решений для смягчения проблемы.

Как узнать, протекаю ли я?​

Легко определить, нет ли в настройках WebRTC вашего браузера утечки вашего IP-адреса. Просто запустите тест на утечку на компьютере или мобильном телефоне. Если возвращаемый публичный IP-адрес не совпадает с IP-адресом вашей VPN, у вас утечка.

Кого это коснется и как исправить дыру в безопасности WebRTC?​

Это в первую очередь проблема веб-браузера, поэтому сторонники Microsoft, Android и Apple подвергаются одинаковому риску. Хотя динозавр, которым является Internet Explorer, слишком стар для поддержки WebRTC (что позволяет полностью избежать недостатка), почти все веб-браузеры нуждаются в исправлении.

Fire Fox​

Mozilla по умолчанию включает WebRTC в своем браузере Firefox на настольных компьютерах и мобильных устройствах, но отключить протокол - проще простого. В адресной строке введите about: config и установите для media.peerconnection.enabled значение False.

Сафари​

Теперь, когда Apple добавила WebRTC в набор экспериментальных функций Safari, этот браузер также пропускает IP-адреса; но это простое исправление. В настройках Safari перейдите на вкладку «Дополнительно», прокрутите вниз и нажмите «Показать меню разработки» в строке меню.

Как только он появится в самой верхней строке меню (обычно между «Закладки» и «Окно», выберите «Разработать». В раскрывающемся меню отобразится WebRTC, который может раскрыться во втором раскрывающемся списке. Убедитесь, что «Включить устаревший API WebRTC» не имеет отметки рядом с убедитесь, что он отключен . Если параметр кажется недоступным, то есть вы не можете ни включить, ни отключить его, вероятно, вы не включили экспериментальные функции в Safari. Это означает, что WebRTC уже отключен.

Мобильный: Chrome​

Хотя Chrome для iOS (пока) не глубоко интегрировал эту технологию, устройства Android остаются под угрозой. Наиболее известное исправление - ввести chrome: // flags / # disable-webrtc в адресную строку браузера. Прокрутите вниз, чтобы найти и отключить исходный заголовок WebRTC STUN. Но отчеты в Твиттере за 2020 год показывают, что это уже не на 100% эффективно. Мы рекомендуем прекратить использование этого браузера, пока не будет найдено надежное решение.

Рабочий стол: Chrome (Edge и большинство браузеров Chromium)​

На Chromium работают более 20 веб-браузеров, включая Microsoft Edge, Opera, Amazon Silk, Comodo Dragon, Torch и Vivaldi.​

Google Chrome (и другие веб-браузеры, построенные на платформе Chromium) сталкиваются с другой проблемой. WebRTC настолько глубоко интегрирован в платформу Chromium, что отключить протокол практически невозможно. К счастью, есть обходной путь, который, хотя и не на 100% эффективен, но очень надежен: расширения.

WebRTC сеть Ограничитель был выпущен непосредственно в Google , чтобы помочь смягчить выпуск еще в 2015 году с тех пор дополнительными расширениями , включая WebRTC утечки предотвращения, а также высоко оценил uBlock Origin появился.

Как упоминалось ранее, есть сообщения о том, что в определенных случаях все еще есть утечки. Это потому, что эти расширения только регулируют настройки конфиденциальности и безопасности протокола, они не могут полностью отключить WebRTC. Поэтому, если вы ищете надежное решение, подумайте об отказе от Chrome, Microsoft Edge, Opera и всех браузеров на основе Chromium, кроме одного.

Браузер "Храбрый" (Brave)​

Запускаете браузер Brave? Молодец. Мы также большие поклонники этого конкретного браузера на основе Chromium. Эта платформа, ориентированная на конфиденциальность, имеет двойной подход к отключению WebRTC.

Обработка WebRTC​

В адресной строке введите brave: // settings /, щелкните значок увеличительного стекла в правом верхнем углу и введите WebRTC. Рядом с политикой обработки IP WebRTC щелкните раскрывающееся меню и выберите Только общедоступный интерфейс по умолчанию .

Защита от отпечатков пальцев​

В меню «Настройки» выберите «Щиты» в меню слева и найдите «Отпечатки пальцев». Щелкните раскрывающийся список и выберите Блокировать все отпечатки пальцев.

В качестве альтернативы те, кто использует уязвимые браузеры, могут настроить беспроводной домашний маршрутизатор для прямого подключения к своей службе VPN. Это устраняет вероятность программного (или, в данном случае, браузера) недостатка в раскрытии любой информации о пользователе.