WebRTC被发现泄漏本地IP地址

  • A+
所属分类:系统文档

WebRTC,一种用于web通信的协议,最近它的一个漏洞被爆出。它可以显示本地用户的IP地址,即使他们已经通过使用虚拟私有网络加长字节来隐藏自己。

Daniel Roesler,涉足加密学的San Francisco研究院,上周在GitHub上发表了一个示例,阐述了漏洞是如何工作的。

Roesler 的概念验证(proof-of-concept)显示了网站是如何向STUN制造请求的。STUN(Session Traversal Utilities for NAT),服务器 —— 回送包含客户端IP地址和端口的ping —— 从服务器的视角。用户的本地和公网IP地址可以用JavaScript从这些请求中收集到。

从WebRTC诞生之初,研究者就开始怀疑协议可以被用来显示本地IP地址。Roesler的slick的概念验证描绘了一个潜在的安全和隐私后果,过去几个月中随着浏览器持续地采用这项技术,这个后果开始被更多意识到。

更令人担忧的是,Roesler声称:这些执行adblocker的用户也无法阻止STUN请求被制造,因为它们在正常的请求程序中产生。

“These STUN requests are made outside of the normal XMLHttpRequest procedure,所以在开发者控制台是不可见的,或者不可以通过插件如AdBlockPlus或Ghostery来阻止,”Roelser在他的Github页面写道。

许多担心隐私的用户使用像AdBlockPlus和Ghostery之类的插件,然后通过代理或者VPN访问Internet,以便使他们的IP地址处于保密状态。It could be reasoned that the hole bypasses much of the premise of using a VPN.

在此之上,Roesler声称用户应当警惕利用这个漏洞的广告。

在他的GitHub页面,Roesler写道:如果广告被设置在使用通配符域名的STUN服务器上,他们可以使用这些请求来做在线跟踪,可能会导致大堆额外问题,并且使得广告上更容易来识别用户。

目前,受限于WebRTC的部署方式,这个问题主要影响的是在Windows上使用Google Chrome或者Mozilla Firefox的客户。

用户可以在这两个浏览器中禁止WebRTC,Firefox用户可以在浏览器地址栏中键入“about:config”,然后将”media.peerconnection.enabled“设为 False,Chrome用户可以在地址栏中键入”chrome://flags/“,然后使能”Disable WebRTC device enumeration“(禁止WebRTC设备枚举)。

也有一些可以消除这个隐患的插件,如Chrome的WebRTC block extension或者ScriptSafe,Firefox的NoScript。

WebRTC(Web Real-Time Communication),是一个由Google主导的开源项目,用于浏览器到浏览器的通信,包括语音通话,视频聊天等等。HTML5协议,实际更多是API目录,降低了对插件的依赖,已经在Firefox(Version 34)客户端得到部署。Google在2011年就开始首先在Chrome中集成WebRTC,但是直到去年夏天才在他的一些App如Hangout中,完全采用了WebRTC平台。

并不清楚Google是否曾经定位这个问题,或者这就是个天生的漏洞,用户不得不显示他们的地址。Google并未立即对此做出响应。

WebRTC leak test URL:

https://browserleaks.com/webrtc

   

原作者:Chris Brook 
原文地址:https://threatpost.com/webrtc-found-leaking-local-ip-addresses/110803/

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: