Vad är WebRTC VPN “Bug” och hur åtgärdar du det?

I början av 2015 introducerade både Chrome- och Firefox-webbläsarna en ny "funktion" som heter WebRTC. Snarare alarmerande, men det tillåter webbplatser att upptäcka din riktiga IP-adress, även när du använder ett VPN!


Vad är WebRTC?

Web Realtidskommunikation (WebRTC) är en potentiellt användbar standard som gör det möjligt för webbläsare att integrera funktioner som röstsamtal, videochatt och P2P-fildelning direkt i webbläsaren.

Ett bra exempel på detta är den nya Firefox Hello video- och chattklienten som låter dig prata säkert med någon annan med en aktuell Firefox-, Chrome- eller Opera-webbläsare, utan att behöva ladda ner något tillägg eller konfigurera någon nya inställningar.

Så vad är problemet?

Tyvärr för VPN-användare tillåter WebRTC en webbplats (eller andra WebRTC-tjänster) att direkt upptäcka din värdmaskinens verkliga IP-adress, oavsett om du använder en proxyserver eller VPN.

Som tillverkarna av https://diafygi.github.io/webrtc-ips/, ett verktyg som upptäcker om din webbläsare är sårbar för en WebRTC-läcka, förklara,

”Firefox och Chrome har implementerat WebRTC som gör det möjligt att begära STUN-servrar som returnerar de lokala och offentliga IP-adresserna för användaren. Dessa förfrågningsresultat är tillgängliga för javascript, så du kan nu få en användares lokala och offentliga IP-adresser i javascript. Den här demonstrationen är ett exempel på implementering av det.

Dessutom görs dessa STUN-förfrågningar utanför den normala XMLHttpRequest-proceduren, så de är inte synliga i utvecklarkonsolen eller kan blockeras av plugins som AdBlockPlus eller Ghostery. Detta gör dessa typer av förfrågningar tillgängliga för online-spårning om en annonsör ställer in en STUN-server med en jokarddomän. "

Opera-webbläsaren, som använder samma WebKit-kod som driver Chrome, påverkas också av problemet, men Internet Explorer och Safari, som inte stöder WebRTC, är det inte. Uppdatering: nyare versioner av den aktuella Android-webbläsaren verkar implementera WebRTC och bör därför undvikas.

Påverkas jag?

Du kan testa om din webbläsare läcker din riktiga IP-adress genom WebRTC genom att besöka ipleak.net.

WebRTC 1

Här kan vi tydligt se att jag har en WebRTC-läcka. Webbplatsen kan se min VPN-serverns IP, men kan också se riktiga lokala (brittiska) IP-adress. Dålig!

WebRTC 2

Om du har inaktiverat WebRTC i din webbläsare (eller använder en webbläsare som inte "innehåller" WebRTC, ser du det här meddelandet. Bra!

webRTC 5

Du kanske också ser något liknande, vilket innebär att din webbläsare är sårbar för WebRTC-bugg, men att din VPN-tjänst har fixat problemet och dirigerar WebRTC STUN-förfrågningar via sina servrar. Bravo!

Även om det är fantastiskt att vissa VPN-leverantörer (som AirVPN) har vidtagit åtgärder för att fixa WebRTC-"buggen", bör det betonas att problemet i grunden ligger i WebRTC API, tillsammans med det faktum att det är aktiverat som standard inom de drabbade webbläsarna.

Det är därför inte riktigt felet hos VPN-leverantörer, även om vi gärna skulle vilja se att fler av dem stiger till utmaningen att hjälpa sina kunder (som till stor del är omedvetna om problemet) från att få deras integritet äventyrat av det här problemet.

Vilka är rättelserna??

Firefox

1. Den enklaste lösningen på problemet är att bara inaktivera WebRTC. I Firefox kan enkelt göras manuellt i de avancerade inställningarna:

en typ 'about: config’ i URL-fältet (och klicka genom 'Jag ska vara försiktig jag lovar!')
b) Sök efter ‘media.peerconnection.enabled
c) Dubbelklicka på posten för att ändra värdet till 'falsk'

Den här metoden fungerar också i mobila versioner av Firefox (Android / iOS)

WebRTC firefox fix

2. Installera inaktivera WebRTC-tillägget. UBlock Origin-webbläsarförlängningen förhindrar också att WebRTC läcker din lokala IP-adress på skrivbordet (alla dessa tillägg också på mobila versioner av Firefox.)

webRTC6

Gå till Meny i uBlock Origin -> Add-ons -> uBlock Ursprung -> alternativ -> Visa instrumentpanelen för att inaktivera WebRTC

3. Ett mer kärnkraftalternativ är att använda NoScript-tillägget. Detta är ett extremt kraftfullt verktyg och är det bästa sättet att skydda din webbläsare från en hel mängd hot (inklusive WebTRC), men många webbplatser kommer inte att spela spel med NoScript, och det kräver en hel del teknisk kunskap för att konfigurera och justera det för att fungera som du vill ha det.

Det är lätt att lägga till undantag till en vitlista, men även detta kräver viss förståelse för de risker som kan vara inblandade. Inte för den tillfälliga användaren då, men för webbkyndiga kraftanvändare är NoScript svårt att slå (faktiskt, även med alla med de flesta av dess funktioner avstängda, NoScript ger några användbara skydd ändå.) NoScript fungerar på skrivbordsversioner av Firefox endast.

4. Som jag har noterat kan WebRTC faktiskt vara användbart, så för en mer nyanserad strategi kan du installera det lagstadgade tillägget. Detta låter dig bestämma, från sida till sida, om du vill tillåta en WebRTC-anslutning. Endast skrivbord.

Det lagstadgade tillägget blockerar WebRTC som standard, men tillåter dig att vitlista webbplatser genom att lägga till dem i den här listan

WebRTC 3

Observera att Tor-webbläsaren (som är baserad på Firefox) inaktiverar WebRTC som standard.

Krom

1. Browserutvidgandet uBlock Origin är också tillgängligt för Chrome (och fungerar för Opera.)

2. WebRTC Network Limiter-förlängningen förhindrar IP-läckor utan att helt avaktivera WebRTC-funktionalitet (detta är en officiell Google-tillägg.)

3. I Android kan du manuellt inaktivera WebRTC i Chrome på följande sätt:

Typ chrome: // flags i sökfältet och bläddra ner tills du bläddrar ner tills du ser "WebRTC STUN originhuvud". Inaktivera detta. Det finns också några WebRTC-videoavkodningsalternativ, men du bör inte behöva inaktivera dessa för att förhindra WebRTC IP-läckor (även om det får dig att må bättre, gå rätt framåt!).

Opera

I teorin kan Opera använda vanliga Chrome-tillägg, men dessa misslyckas oftast med att blockera IPRTC-läckor. Den ena metoden jag känner till som fungerar är att använda förlängningen WebRTC Leak Prevent, men bara om du:

  1. Gå till Meny -> Extensions -> Hantera tillägg WebRTC Leak Prevent -> alternativ
  2. Uppsättning "IP-hanteringspolicy" till: Inaktivera icke-proxyerad UDP (tvinga proxy) och kryssa för båda alternativen under "Arv".

Opera

3. Hit "Använd inställningar".

Slutsats

WebRTC-felet är farligt för VPN-användare, eftersom det kan avslöja din riktiga IP-adress (och därmed negera hela poängen med att använda ett VPN!)

Även om det inte riktigt är deras fel, skulle det dock vara stort om fler leverantörer skulle kunna ta itu med problemet för att skydda sina användare, av vilka de flesta helt är medvetna om detta hot.

Under tiden, åtminstone när du är medveten om problemet, kan det enkelt lösas.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me