預設啟用WebRTC功能的瀏覽器列表。

VPN用戶要小心了,你用的VPN服務可能意外的洩漏了你的真實IP位置。資安研究員發現,市面上有23%的VPN服務,透過瀏覽器的WebRTC技術洩漏使用者的真實IP位置,不幸的是WebRTC在主流瀏覽器多數是預設啟用的,Voidsec建議,暫時停用瀏覽器的WebRTC。

資深安全研究員以及滲透測試員Paolo Stagno,以筆名Voidsec在網路上揭露,他研究了市面上70家廠商的VPN服務,發現其中有16家的VPN服務,會透過WebRTC洩漏使用者的IP位置,占整體研究的VPN服務23%。Paolo Stagno表示,實際可能有更多的VPN服務也有此漏洞,但由於他沒辦法付費訂閱這麼多種不同的商用VPN服務,希望使用者可以回饋給他最新的資訊。

Paolo Stagno在Google文件上列出了他的檢測結果,包括瀏覽器以及VPN服務清單,並設置了一個檢測網頁,使用者啟用VPN服務後瀏覽該網頁,便能知道自己所使用的VPN服務有無該漏洞。Paolo Stagno將網頁上運作的程式碼開源在GitHub上,並希望使用過檢測服務的用戶能回報結果,幫助他完成整份檢測清單。

WebRTC是一個開源專案,讓瀏覽器以及行動應用能用簡易的API,建立即時通訊(Real-Time Communications,RTC)功能。WebRTC服務的中介伺服器STUN,會保留用戶的公有IP以及私有IP位置,問題發生在STUN伺服器會將這些資訊透漏給與用戶建立WebRTC連線的網站。Paolo Stagno提到,使用JavaScript便能存取這些資訊,而且由於這並非正常的XML/HTTP請求程序,因此在開發者控制臺(Developer Console)是看不到的,這種去匿名技術的成立條件,用戶端必須同時支援WebRTC和JavaScript。

Paolo Stagno建議,如果使用者現在想保證完全的匿名瀏覽,第一優先便是停用WebRTC與JavaScript,停用畫布渲染(Canvas Rendering),並總是啟用DNS Fallback功能,禁止所有VPN供應商外的所有連線,無論在連接VPN之前與之後,都應完全關閉所有瀏覽器,清除瀏覽器暫存檔、歷史紀錄以及Cookie。


Advertisement

更多 iThome相關內容