Hvad er WebRTC VPN “Bug”, og hvordan fikser man det?

I begyndelsen af ​​2015 introducerede både Chrome og Firefox browsere en ny "funktion" kaldet WebRTC. I stedet for alarmerende tillader det websteder dog at registrere din rigtige IP-adresse, selv når du bruger en VPN!


Hvad er WebRTC?

Web Realtime-kommunikation (WebRTC) er en potentielt nyttig standard, der giver browsere mulighed for at integrere funktioner såsom stemmekald, videochat og P2P-fildeling direkte i browseren.

Et godt eksempel på dette er den nye Firefox Hello video- og chatklient, der giver dig mulighed for at tale sikkert med alle andre ved hjælp af en opdateret Firefox-, Chrome- eller Opera-browser uden behov for at downloade nogen tilføjelse eller konfigurere nogen nye indstillinger.

Så hvad er problemet?

Desværre for VPN-brugere tillader WebRTC et websted (eller andre WebRTC-tjenester) at registrere din værtsmaskins ægte IP-adresse direkte, uanset om du bruger en proxyserver eller VPN.

Som skaberne af https://diafygi.github.io/webrtc-ips/, et værktøj, der registrerer, om din browser er sårbar over for en WebRTC-lækage, forklar,

“Firefox og Chrome har implementeret WebRTC, der tillader forespørgsler til STUN-servere, der returnerer de lokale og offentlige IP-adresser for brugeren. Disse anmodningsresultater er tilgængelige for javascript, så du kan nu få en brugers lokale og offentlige IP-adresser i javascript. Denne demo er et eksempel på implementering af det.

Derudover foretages disse STUN-anmodninger uden for den normale XMLHttpRequest-procedure, så de er ikke synlige i udviklerkonsollen eller er i stand til at blive blokeret af plugins som AdBlockPlus eller Ghostery. Dette gør disse typer forespørgsler tilgængelige for online sporing, hvis en annoncør opretter en STUN-server med et jokertegn-domæne. ”

Opera-browseren, der bruger den samme WebKit-kode, der driver Chrome, påvirkes også af problemet, men Internet Explorer og Safari, som ikke understøtter WebRTC, er det ikke. Opdatering: nyere versioner af aktie-Android-browseren ser ud til at implementere WebRTC, og det bør derfor undgås.

Er jeg berørt?

Du kan teste, om din browser lækker din rigtige IP-adresse gennem WebRTC ved at besøge ipleak.net.

WebRTC 1

Her kan vi tydeligt se, at jeg har en WebRTC-lækage. Hjemmesiden kan se min VPN-server IP, men kan også se reel lokal (UK) IP-adresse. Bad!

WebRTC 2

Hvis du har deaktiveret WebRTC i din browser (eller bruger en browser, der ikke ”indeholder” WebRTC, vil du se denne meddelelse. Godt!

webRTC 5

Du kan også se noget lignende, hvilket betyder, at din browser er sårbar over for WebRTC-"bug", men at din VPN-service har løst problemet og dirigerer WebRTC STUN-anmodninger gennem sine servere. Bravo!

Selvom det er fantastisk, at nogle VPN-udbydere (såsom AirVPN) har taget skridt til at rette WebRTC-“bug”, skal det understreges, at problemet grundlæggende ligger i WebRTC API sammen med det faktum, at det er aktiveret som standard inden for berørte browsere.

Det er derfor ikke rigtig skyld af VPN-udbydere, selvom vi ville elske at se flere af dem komme til udfordringen med at hjælpe deres kunder (som stort set ikke er opmærksomme på problemet) fra at få deres privatliv kompromitteret af dette problem.

Hvad er rettelserne?

Firefox

1. Den enkleste løsning på problemet er bare at deaktivere WebRTC. I Firefox kan det let udføres manuelt i de avancerede indstillinger:

a) Skriv 'about: config’ i URL-linjen (og klik gennem 'Jeg vil være forsigtig, jeg lover!')
b) Søg efter ‘media.peerconnection.enabled
c) Dobbeltklik på posten for at ændre værdien til ‘falsk'

Denne metode fungerer også i mobile versioner af Firefox (Android / iOS)

WebRTC firefox-fix

2. Installer deaktiver WebRTC-tilføjelsen. UBlock Origin-browserudvidelsen forhindrer også, at WebRTC lækker din lokale IP-adresse på skrivebordet (alle disse tilføjelser også på mobile versioner af Firefox.)

webRTC6

Gå til Menu i uBlock Origin -> Add-ons -> uBlock Oprindelse -> Muligheder -> Vis Dashboard for at deaktivere WebRTC

3. En mere nuklear mulighed er at bruge NoScript-tilføjelsen. Dette er et ekstremt kraftfuldt værktøj, og det er den bedste måde at holde din browser beskyttet mod en hel række trusler (inklusive WebTRC), men mange websteder vil ikke spille spil med NoScript, og det kræver en god smule teknisk viden for at konfigurere og finjustere det for at arbejde, som du vil have det til.

Det er let at tilføje undtagelser til en hvidliste, men selv dette kræver en vis forståelse af de risici, der kan være involveret. Ikke for den afslappede bruger da, men for webkyndige strømbrugere er NoScript vanskeligt at slå (faktisk, selv med alle de fleste af dens funktioner slået fra, giver NoScript nogle nyttige beskyttelser alligevel.) NoScript fungerer på desktopversioner af Firefox kun.

4. Som jeg har bemærket, kan WebRTC faktisk være nyttigt, så for en mere nuanceret tilgang kan du installere den lovpligtige tilføjelse. Dette giver dig mulighed for at beslutte, fra sted til side, om du vil tillade en WebRTC-forbindelse. Kun skrivebord.

Den lovpligtige tilføjelse blokerer WebRTC som standard, men giver dig mulighed for at hvidliste-websteder ved at føje dem til denne liste

WebRTC 3

Bemærk, at Tor-browseren (som er baseret på Firefox) deaktiverer WebRTC som standard.

Chrome

1. Browserudvidelsen uBlock Origin er også tilgængelig for Chrome (og fungerer for Opera.)

2. WebRTC Network Limiter browserudvidelse forhindrer IP-lækager uden fuldstændigt at deaktivere WebRTC-funktionalitet (dette er en officiel Google-udvidelse.)

3. I Android kan du manuelt deaktivere WebRTC i Chrome ved hjælp af følgende metode:

Type chrome: // flags i søgefeltet og rulle ned, indtil du ruller ned, indtil du ser "WebRTC STUN oprindelseshoved". Deaktiver dette. Der er også nogle WebRTC-videoafkodningsmuligheder, men du skal ikke behøver at deaktivere disse for at forhindre WebRTC IP-lækager (selvom hvis det får dig til at føle dig bedre, skal du gå lige foran!).

Opera

I teorien kan Opera bruge regelmæssige Chrome-udvidelser, men disse klarer for det meste ikke at blokere WebRTC IP-lækager. Den ene metode, jeg kender til, der fungerer, bruger WebRTC Leak Prevent-udvidelsen, men kun hvis du:

  1. Gå til Menu -> Udvidelser -> Administrer udvidelser WebRTC Leak Prevent -> Muligheder
  2. Sæt "IP-håndteringspolitik" til: Deaktiver ikke-proxyeret UDP (force proxy), og marker begge indstillinger under "Eftermæle".

Opera

3. Hit "Anvend indstillinger".

Konklusion

WebRTC-"bug" er farlig for VPN-brugere, da den kan afsløre din ægte IP-adresse (og dermed ignorere hele pointen med at bruge en VPN!)

Selvom det ikke rigtig er deres skyld, ville det dog være stort, hvis flere udbydere kunne løse problemet for at beskytte deres brugere, hvoraf de fleste er helt uvidende om denne trussel.

I mellemtiden, mindst når du er klar over problemet, kan det let løses.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me