Cos’è il “Bug” di WebRTC VPN e come risolverlo?

All'inizio del 2015 entrambi i browser Chrome e Firefox hanno introdotto una nuova "funzionalità" chiamata WebRTC. Piuttosto allarmante, tuttavia, consente ai siti Web di rilevare il tuo vero indirizzo IP, anche quando si utilizza una VPN!

Che cos'è WebRTC?

Web Real-Time Communication (WebRTC) è uno standard potenzialmente utile che consente ai browser di incorporare funzionalità come la chiamata vocale, la chat video e la condivisione di file P2P direttamente nel browser.

Un buon esempio di questo è il nuovo client di video e chat di Firefox Hello che ti consente di parlare in modo sicuro con chiunque utilizzi un browser Firefox, Chrome o Opera aggiornato, senza la necessità di scaricare alcun componente aggiuntivo o configurare alcun nuove impostazioni.

Allora, qual'è il problema?

Sfortunatamente per gli utenti VPN, WebRTC consente a un sito Web (o altri servizi WebRTC) di rilevare direttamente il vero indirizzo IP della macchina host, indipendentemente dal fatto che si stia utilizzando un server proxy o VPN.

Come creatori di https://diafygi.github.io/webrtc-ips/, uno strumento che rileva se il tuo browser è vulnerabile a una perdita WebRTC, spiega,

“Firefox e Chrome hanno implementato WebRTC che consente di effettuare richieste ai server STUN che restituiranno gli indirizzi IP locali e pubblici per l'utente. Questi risultati della richiesta sono disponibili per JavaScript, quindi ora puoi ottenere gli indirizzi IP locali e pubblici di un utente in JavaScript. Questa demo ne è un esempio di implementazione.

Inoltre, queste richieste STUN vengono effettuate al di fuori della normale procedura XMLHttpRequest, quindi non sono visibili nella console degli sviluppatori o non possono essere bloccate da plugin come AdBlockPlus o Ghostery. Questo rende disponibili questi tipi di richieste per il monitoraggio online se un inserzionista imposta un server STUN con un dominio jolly. "

Anche il browser Opera, che utilizza lo stesso codice WebKit che alimenta Chrome, è interessato dal problema, ma Internet Explorer e Safari, che non supportano WebRTC, non lo sono. Aggiornamento: le versioni più recenti del browser Android di serie sembrano implementare WebRTC e quindi dovrebbero essere evitate.

Sono affetto?

Puoi verificare se il tuo browser sta perdendo il tuo vero indirizzo IP tramite WebRTC visitando ipleak.net.

WebRTC 1

Qui possiamo vedere chiaramente che ho una perdita WebRTC. Il sito Web può vedere l'IP del mio server VPN, ma può anche vedere l'indirizzo IP locale reale (Regno Unito). Cattivo!

WebRTC 2

Se hai disabilitato WebRTC nel tuo browser (o stai utilizzando un browser che non "presenta" WebRTC, vedrai questo messaggio. Buono!

webRTC 5

Potresti anche vedere qualcosa del genere, il che significa che il tuo browser è vulnerabile al "bug" di WebRTC, ma che il tuo servizio VPN ha risolto il problema e sta instradando le richieste WebRTC STUN attraverso i suoi server. Bravo!

Anche se è bello che alcuni provider VPN (come AirVPN) abbiano preso provvedimenti per correggere il "bug" di WebRTC, va sottolineato che, fondamentalmente, il problema risiede nell'API WebRTC, insieme al fatto che è abilitato per impostazione predefinita nei browser interessati.

Pertanto, non è davvero colpa dei provider VPN, anche se ci piacerebbe vederne di più sollevare la sfida di aiutare i loro clienti (che saranno in gran parte inconsapevoli del problema) ad avere la loro privacy compromessa da questo problema.

Quali sono le correzioni?

Firefox

1. La soluzione più semplice al problema è semplicemente disabilitare WebRTC. In Firefox può essere facilmente eseguito manualmente nelle impostazioni avanzate:

un tipo 'about: config’ nella barra degli URL (e fai clic su "Farò attenzione, lo prometto!")
b) Cerca "media.peerconnection.enabled
c) Fai doppio clic sulla voce per modificare il valore in "false’

Questo metodo funziona anche nelle versioni mobili di Firefox (Android / iOS)

Correzione di Firefox WebRTC

2. Installare il componente aggiuntivo Disabilita WebRTC. L'estensione del browser uBlock Origin impedisce inoltre a WebRTC di perdere il tuo indirizzo IP locale sul desktop (tutti questi componenti aggiuntivi anche su versioni mobili di Firefox.)

webRTC6

In uBlock Origin vai al menu -> Add-on -> uBlock Origin -> Opzioni -> Mostra Dashboard per disabilitare WebRTC

3. Un'opzione più nucleare è utilizzare il componente aggiuntivo NoScript. Questo è uno strumento estremamente potente ed è il modo migliore per proteggere il tuo browser da tutta una serie di minacce (incluso WebTRC), ma molti siti Web non giocheranno con NoScript e richiede una discreta conoscenza tecnica per configurare e ottimizzalo per funzionare nel modo desiderato.

È facile aggiungere eccezioni a una whitelist, ma anche questo richiede una certa comprensione dei rischi che potrebbero essere coinvolti. Non per l'utente occasionale quindi, ma per gli utenti esperti di Web, NoScript è difficile da battere (in effetti, anche con tutte le sue funzionalità disattivate, NoScript offre comunque delle protezioni utili.) NoScript funziona su versioni desktop di Firefox solo.

4. Come ho notato, WebRTC può effettivamente essere utile, quindi per un approccio più sfumato è possibile installare il componente aggiuntivo obbligatorio. Ciò consente di decidere, sito per sito, se consentire una connessione WebRTC. Solo desktop.

Il componente aggiuntivo statutario blocca WebRTC per impostazione predefinita, ma consente di inserire nella lista bianca i siti aggiungendoli a questo elenco

WebRTC 3

Si noti che Tor Browser (basato su Firefox) disabilita WebRTC per impostazione predefinita.

Cromo

1. L'estensione del browser uBlock Origin è disponibile anche per Chrome (e funziona per Opera.)

2. L'estensione del browser WebRTC Network Limiter previene le perdite IP senza disabilitare completamente la funzionalità WebRTC (si tratta di un'estensione Google ufficiale).

3. In Android è possibile disabilitare manualmente WebRTC in Chrome utilizzando il seguente metodo:

genere chrome: // flags nella barra di ricerca e scorrere verso il basso fino allo scorrimento verso il basso fino a quando non viene visualizzato "Intestazione di origine WebRTC STUN". Disabilita questo. Ci sono anche alcune opzioni di decodifica video WebRTC, ma non dovresti disabilitarle per prevenire perdite IP WebRTC (anche se se ti fa sentire meglio, vai avanti!).

musica lirica

In teoria, Opera può utilizzare le normali estensioni di Chrome, ma queste non riescono a bloccare le perdite IP di WebRTC. L'unico metodo che conosco funziona è usare l'estensione WebRTC Leak Prevent, ma solo se:

  1. Vai al menu -> estensioni -> Gestisci le estensioni Prevenzione perdite WebRTC -> Opzioni
  2. Impostato "Politica di gestione IP" a: Disabilita UDP non proxy (force proxy) e seleziona entrambe le opzioni in "eredità".

musica lirica

3. Hit "Applica le impostazioni".

Conclusione

Il "bug" di WebRTC è pericoloso per gli utenti VPN, in quanto può rivelare il tuo vero indirizzo IP (annullando così l'intero punto di utilizzo di una VPN!)

Sebbene non sia davvero colpa loro, sarebbe bello, tuttavia, se più fornitori potessero affrontare il problema al fine di proteggere i propri utenti, la maggior parte dei quali non è completamente a conoscenza di questa minaccia.

Nel frattempo, almeno una volta a conoscenza del problema, può essere facilmente risolto.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me