VoidSec发现部分VPN会大量泄露IP地址

安全研究员Paolo Stagno（也被称为VoidSec）发现 23％（70个中有16个）通过WebRTC测试泄漏用户的IP地址。

WebRTC所带来的隐私问题并不新鲜。至少自2015年以来，这个问题至今已经发生很多次。

WebRTC是一个流行的免费开源项目，已经在Web浏览器中实现，允许通过JavaScript API进行实时通信。例如，它用于实现基于浏览器的聊天应用程序。

该协议通常与ICE（交互式连接建立）框架和STUN（用于NAT的会话遍历实用程序）服务器一起使用。

VPN使用STUN服务器在VPN用户的本地IP地址和公共IP地址之间进行转换，就像家庭路由器充当本地设备和外部互联网之间的网络中介一样。

据Stagno介绍，WebRTC可以返回本应该保密的信息。

“WebRTC允许向STUN服务器发出请求，STUN服务器返回”隐藏的“家庭IP地址以及用户正在使用的系统的本地网络地址，”他在周二的一篇博文中说。

他解释说，这样的请求通常不可见，因为它们不是标准XML / HTTP交互的一部分，但它们可以通过JavaScript创建。Stagno表示，该技术可以用于任何支持WebRTC和JavaScript的浏览器。

在许多浏览器中的默认情况下（例如Brave，Chrome，Firefox，三星Internet浏览器，Opera，Vivaldi），WebRTC和JavaScript都处于启用状态。

漏洞VPN列表可在VoidSec的网站上找到。

Stagno建议禁用WebRTC以及其他保护隐私的措施。

安全行业的人往往会对商业VPN提供商不满，因为他们并不总是为了客户的利益而行事。有些会记录您的活动，有些会追踪您以您的方式推广广告，有些则显然不安全。

El Reg建议，可以尝试使用OpenVPN，例如比特的Algo或Jigsaw的Outline软件。