外安全项目Voidsec(Github)近日对市场上常见的上百个VPN(受测VPN服务商名单)检测发现,为数众多的VPN依然存在WebRTC漏洞(这个漏洞已经曝光三年了!),会暴露用户的真实IP地址。
1
关于WebRTC:
WebRTC是网页实时通信(Web Real-Time Communication)的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的技术,谷歌2010年以6820万美元收购Global IP Solutions公司获得了WebRTC技术,次年2011年5月开放了项目源代码,在行业内得到了广泛的支持和应用,成为下一代网页视频通话的标准。
2
漏洞原理
WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等协议栈对VoIP网络中的防火墙或者NAT进行穿透。用户发送请求至服务器,STUN服务器会返回用户所用系统的IP地址和局域网地址。
返回的请求可以通过JavaScript获取,但由于这个过程是在正常的XML/HTTP请求过程之外进行的,所以在开发者控制台看不到。这意味着,这个漏洞的唯一要求就是浏览器要支持WebRTC和JavaScript。
会泄露用户真实IP地址的VPN服务商名单(截至2018年4月2日)
BlackVPN
ChillGlobal (Chrome and Firefox Plugin)
CyrenVPN
Glype (Depends on the configuration)
hide-me.org
HideMyAss
Hola!VPN
Hola!VPN Chrome Extension
HTTP PROXY in browser that support Web RTC
IBVPN Browser Addon
PHP Proxy
phx.piratebayproxy.co
PrivateTunnel
psiphon3 (not leaking if using L2TP/IP)
SmartHideProxy
SOCKS Proxy on browsers with Web RTC enabled
SumRando Web Proxy
TOR as PROXY on browsers with Web RTC enabled
Windscribe Addons (Browser Extension/Plugin)
实现匿名浏览的安全注意事项:
关闭WebRTC
关闭浏览器的JavaScript(或者至少部分功能,建议使用NoScript)
关闭Canvas Rendering
VPN连接前后,都要关闭所有浏览器实例(页面)
清空浏览器缓存、历史和Cookie
关闭除了VPN服务商以外的所有出站连接
(来源:IT经理网)
领取专属 10元无门槛券
私享最新 技术干货