2 nuotėkio atvejo analizė: „WebRTC“ nutekėjimas

Jūsų vieši IP adresai yra asmens tapatybės žiniatinklyje dalis, leidžianti svetainėms, programoms ir trečiosioms šalims stebėti savo veiklą žiniatinklyje ir susieti ją su tuo konkrečiu asmeniu. Naudodamos VPN, svetainės mato VPN serverio viešąjį IP adresą, o ne vartotojo, kad apsaugotų jo tapatybę.

Tačiau kartais „WebRTC“ gali leisti svetainėms pamatyti vartotojo viešą IP adresą, nurodantį privatumą pažeidžiantį nutekėjimą. Šis atvejis iš mūsų Privatumo tyrimų laboratorijos aprašo, kaip atsiranda „WebRTC“ nuotėkiai ir kaip juos patikrinti naudojant „ExpressVPN“ nuotėkio tikrinimo įrankius.

„WebRTC“ apžvalga

„WebRTC“ yra atvirų technologijų rinkinys, leidžiantis tinklalapiams teikti vienpusį ryšį (P2P) per interneto naršyklę. Šiuolaikinės naršyklės visiškai palaiko „WebRTC“ standartą.

Be kitų dalykų, „WebRTC“ suteikia interneto naršyklėms galimybę aptikti ir vartotojo viešus IP adresus, ir jų vietinius IP adresus. Ši galimybė yra labai svarbi palengvinant P2P ryšį naudojant tik interneto naršykles, be papildomų programų ar papildinių.

„WebRTC“ nutekėja

„WebRTC“ nuotėkiai yra tam tikra IP nutekėjimo forma. Tinklalapiai gali naudoti „JavaScript WebRTC“ API, norėdami iš naršyklės paprašyti įrenginio IP adresų. Surinkę šiuos IP adresus, jie gali nusiųsti juos į savo serverius ir panaudoti identifikuodami, kas naudojasi tam tikru tinklalapiu ar paslauga..

Daugelis VPN programų efektyviai apsaugo nuo IPv4 adresų nutekėjimo per „WebRTC“, tačiau daugelis VPN programų linkusios nepastebėti IPv6 adresų nutekėjimo tokiu pačiu būdu.

Kaip „WebRTC“ nustato IP adresus?

„WebRTC“ naudoja du pagrindinius metodus, kad nustatytų įrenginio IP adresus: STUN / TURN serveriai ir „Host Candidate Discovery“.

STUN / turn serveriai nustato IP adresus, patikrindami, koks viešasis IP adresas naudojamas jiems pasiekti. Paprastai tai nėra VPN IP nutekėjimo priežastis.

Šeimininko kandidato atradimas yra problemiškesnis, kai kalbama apie „WebRTC“ nutekėjimą. Ši funkcija leidžia naršyklėms tiesiogiai apžiūrėti jūsų sistemos ir tinklo sąsajas ir pamatyti, kokie IP adresai yra su jomis susieti.

Kad veiktų visos įrenginio aktyvios tinklo sąsajos, reikia IP adresų. Pvz., Aktyviam „Wi-Fi“ ryšiui įrenginyje bus atitinkama tinklo sąsaja. Ši sąsaja savo ruožtu turės IP adresą.

„WebRTC“ gali atskleisti šiuos IP adresus, kurie paprastai nebuvo matomi įrenginyje, tinklalapiuose..

Kodėl IPv6 nutekėjimas yra problematiškas?

IPv4 adresų trūksta - jų nepakanka, kad galėtumėte apeiti! Paprastai IPv4 adresai yra dalijami tarp žmonių. Tam naudojama sistema, vadinama tinklo adresų vertimu (NAT). Ši sistema leidžia įrenginiams priskirti „Vietinius IPv4“ adresus savo tinklo sąsajoms, tuo pačiu dalydamiesi bendru viešuoju IP adresu, paprastai per IPT. Šiuos vietinius IP adresus visame pasaulyje naudoja milijonai kompiuterių visame pasaulyje ir juos sunku tiesiogiai susieti su konkrečiu asmeniu.

„IPv6“ problema ta, kad adresų netrūksta. Čia yra daug jų! Tai reiškia, kad paprastai kiekvienam asmeniui priskiriami unikalūs IPv6 adresai. Kai toks IPv6 adresas priskiriamas tinklo sąsajai, tai reiškia, kad „WebRTC“ gali aptikti IP adresą, kuris identifikuoja, kas jūs esate, net jei tas IP adresas paprastai nėra matomas išoriniam pasauliui..

Kokios yra nutekėjimo rūšys?

Yra du WebRTC nuotėkio tipai, skirtingo sunkumo. Kam vartotojas gali būti pažeidžiamas, priklauso nuo to, ar jis suteikia tam tikrus su WebRTC susijusius leidimus tinklalapiui. Abiem atvejais geras VPN turėtų apsaugoti nuo nutekėjimų.

Atminkite, kad naršyklių gamintojai gali naudoti skirtingus WebRTC diegimo būdus, todėl viena naršyklė gali nutekėti, o kita ne, net naudojant tą pačią įrenginio sąranką ir VPN teikėją..

Nuolatiniai nuotėkiai (nereikia leidimų)

Pagal numatytuosius nustatymus tinklalapiams nesuteikiami „WebRTC“ leidimai. Tačiau puslapiuose vis dar galima pasiekti kai kuriuos vartotojo IP adresus, naudojant „WebRTC“ API. Tokiose situacijose svetainės gali lengvai sekti vartotoją per savo IP adresus be jų žinios.

Suaktyvintas nuotėkis (būtini leidimai)

Tinklalapiai gali aiškiai prašyti leidimų naudoti su „WebRTC“ susijusias funkcijas. Šie leidimai iš tikrųjų yra klasifikuojami kaip Mikrofonas ir Kamera leidimus. Priežastis yra ta, kad „WebRTC“ yra technologija, orientuota į P2P ryšį, pavyzdžiui, balso skambučius ar vaizdo konferencijas.

Suteikus bet kurį iš šių leidimų, tinklalapiui suteikiama prieiga prie platesnio IP adresų diapazono įrenginyje, todėl yra galimybė nutekėti. Kai kuriose naršyklėse šie leidimai išlieka visose sesijose, t. Y. Jei vartotojas vieną kartą davė leidimus tinklalapiui, tinklalapis išlaiko tuos leidimus, kai vartotojas ateityje grįš į puslapį.

Atminkite, kad atskiriems tinklalapiams leidimai turi būti suteikiami atskirai, todėl suteikiant leidimus vienai svetainei nesuteikiami leidimai kitai.

Nors šie nutekėjimai yra ne tokie stiprūs, kaip aukščiau išvardyti nuolatiniai nutekėjimai, nes jiems reikalingas aktyvus vartotojo leidimų suteikimas, vis tiek manome, kad jie kelia susirūpinimą. „WebRTC“ populiarėja ir vartotojai gali tikėtis, kad per ateinančius metus pamatys vis daugiau svetainių, naudojančių šią technologiją. Jei VPN neslepia IP adresų, kai vartotojas suteikia leidimus svetainei, tada jiems lieka tik dvi parinktys:

  • Nenaudokite jokių „WebRTC“ įgalintų svetainių ir paslaugų
  • Prisiimkite riziką saugumui ir privatumui, susijusią su jų IP adreso atskleidimu

Nuotėkio tikrinimas

Šiuos testus galima atlikti su bet kokiu staliniu kompiuteriu. Atlikdami nuotėkio testus, rekomenduojame, kad jūsų bandomajame įrenginyje būtų prieinama „IPv6“, nes tai yra labiausiai tikėtina situacija, kai VPN teikėjai nutekina.

Rankinis testavimas

Galite rankiniu būdu patikrinti, ar nėra nuotėkio, naudodamiesi mūsų internetiniu „WebRTC“ nuotėkio bandymu.

Repro žingsniai

  • Įsitikinkite, kad yra nuotėkio bandymo puslapis uždaryta
  • Įsitikinkite, kad jūsų VPN programa yra atjungtas
  • Apsilankykite „WebRTC“ nuotėkio bandymo puslapyje
  • Surašyk visus viešai IP adresai, kuriuos matote bandymo išvestyje
    • Jie bus rodomi su savo Statusas kaip „potencialus nutekėjimas“
  • Uždarykite sandarumo bandymo puslapį
  • Prisijunkite prie savo VPN
  • Vėl atidarykite „WebRTC“ nuotėkio bandymo puslapį
  • Jei matote kurį nors iš IP adresų, kuriuos ką tik atkreipėte aukščiau, turite nutekėjimą

Atminkite, kad mes aiškiai prašome uždaryti nuotėkio bandymo puslapį, kad išvengtumėte naršyklės talpyklos problemų. Daugelis naršyklių talpins IP, aptiktus per „WebRTC“, taigi tinklalapio perkėlimas iš naujo nėra patikimas bandymo vykdymo būdas..

Atminkite, kad šiame bandymo puslapyje tikrinamos tik sunkiausios klasės nuotėkiai, t. Y. Aukščiau aptarti „nuolatiniai nuotėkiai“. Norėdami patikrinti, ar nutekėja, kai jūsų naršyklei suteikiami leidimai, siūlome naudoti žemiau pateiktus nuotėkio tikrinimo įrankius.

Testavimas naudojant „ExpressVPN“ nuotėkio tikrinimo įrankius

„ExpressVPN“ nuotėkio tikrinimo įrankiai yra išplėstinis atvirojo kodo „Python“ įrankių rinkinys, skirtas rankiniam ir automatiniam VPN programų nuotėkio testavimui. Žr. Mūsų įvadą, kuriame pateiktos instrukcijos, kaip atsisiųsti ir nustatyti įrankius.

Sukūrę įrankius įsitikinkite, kad esate įrankių šakniniame kataloge ir vykdykite:

./run_tests.sh -c konfigūracija / case_studies / webrtc_leaks.py

Ši komanda vykdys du bandymo atvejus keliose naršyklėse. Abu bandymo atvejai yra aukščiau aprašytų rankinių veiksmų automatizavimas ir jie atliekami taip:

  • Įsitikinkite, kad bandoma VPN programa yra atjungta
  • Nustatykite įrenginio viešuosius IPv4 ir IPv6 adresus
  • Prijunkite VPN programą
  • Norėdami surinkti WebRTC IP, naudokite supaprastintą nuotėkio tikrinimo tinklalapį
  • Patikrinkite, ar prieš prisijungdami surinkti viešieji IP yra matomi per „WebRTC“

Vienas testas bus patikrintas dėl nuolatinių nuotėkių, kai nesuteikiama jokių naršyklės leidimų, kitas bandymas patikrins, ar nėra nutekėjimų, kai leidimai yra suteikta.

Pastaba: Galite sureguliuoti naudojamas naršykles pakeisdami Naršyklės sąrašą webrtc_leaks.py byla.

2 nuotėkio atvejo analizė: „WebRTC“ nutekėjimas
admin Author
Sorry! The Author has not filled his profile.