WebRTC被发现泄漏本地IP地址

WebRTC，一种用于web通信的协议，最近它的一个漏洞被爆出。它可以显示本地用户的IP地址，即使他们已经通过使用虚拟私有网络加长字节来隐藏自己。

Daniel Roesler，涉足加密学的San Francisco研究院，上周在GitHub上发表了一个示例，阐述了漏洞是如何工作的。

Roesler 的概念验证（proof-of-concept）显示了网站是如何向STUN制造请求的。STUN（Session Traversal Utilities for NAT），服务器 —— 回送包含客户端IP地址和端口的ping —— 从服务器的视角。用户的本地和公网IP地址可以用JavaScript从这些请求中收集到。

从WebRTC诞生之初，研究者就开始怀疑协议可以被用来显示本地IP地址。Roesler的slick的概念验证描绘了一个潜在的安全和隐私后果，过去几个月中随着浏览器持续地采用这项技术，这个后果开始被更多意识到。

更令人担忧的是，Roesler声称：这些执行adblocker的用户也无法阻止STUN请求被制造，因为它们在正常的请求程序中产生。

“These STUN requests are made outside of the normal XMLHttpRequest procedure，所以在开发者控制台是不可见的，或者不可以通过插件如AdBlockPlus或Ghostery来阻止，”Roelser在他的Github页面写道。

许多担心隐私的用户使用像AdBlockPlus和Ghostery之类的插件，然后通过代理或者VPN访问Internet，以便使他们的IP地址处于保密状态。It could be reasoned that the hole bypasses much of the premise of using a VPN.

在此之上，Roesler声称用户应当警惕利用这个漏洞的广告。

在他的GitHub页面，Roesler写道：如果广告被设置在使用通配符域名的STUN服务器上，他们可以使用这些请求来做在线跟踪，可能会导致大堆额外问题，并且使得广告上更容易来识别用户。

目前，受限于WebRTC的部署方式，这个问题主要影响的是在Windows上使用Google Chrome或者Mozilla Firefox的客户。

用户可以在这两个浏览器中禁止WebRTC，Firefox用户可以在浏览器地址栏中键入“about:config”，然后将”media.peerconnection.enabled“设为 False，Chrome用户可以在地址栏中键入”chrome://flags/“，然后使能”Disable WebRTC device enumeration“（禁止WebRTC设备枚举）。

也有一些可以消除这个隐患的插件，如Chrome的WebRTC block extension或者ScriptSafe，Firefox的NoScript。

WebRTC（Web Real-Time Communication），是一个由Google主导的开源项目，用于浏览器到浏览器的通信，包括语音通话，视频聊天等等。HTML5协议，实际更多是API目录，降低了对插件的依赖，已经在Firefox（Version 34）客户端得到部署。Google在2011年就开始首先在Chrome中集成WebRTC，但是直到去年夏天才在他的一些App如Hangout中，完全采用了WebRTC平台。

并不清楚Google是否曾经定位这个问题，或者这就是个天生的漏洞，用户不得不显示他们的地址。Google并未立即对此做出响应。

WebRTC leak test URL：

https://browserleaks.com/webrtc

原作者：Chris Brook 
原文地址：https://threatpost.com/webrtc-found-leaking-local-ip-addresses/110803/