你的VPN泄漏IP了嗎：仍有20％的VPN服務商未解決WebRTC漏洞問題

其實自 2015 年 1 月開始，大約有 20% 的 VPN 方案提供商會因為 WebRTC 漏洞泄漏用戶 IP 。但這個問題幾遍在今天，一些 VPN 廠商也並沒有對此作出改進。

這個問題是由安全研究員 Paolo Stagno （VoidSec）發現，他對 83 款VPN應用程序進行了安全審計測試，發現了舊版本的 WebRTC IP 泄漏問題。

Stagno 表示在他的調查過程中有 17 款 VPN 會通過網頁瀏覽器直接泄漏用戶的IP地址。具體的研究成果已經公開在Google Doc在線文檔中。但Stangno 表示，自己的工作並不是最完整的版本，因為他沒有財力對所有的商用 VPN 服務進行測試。

VPN 安全測試地址

即便如此，目前這項 VPN 安全測試計劃仍在發展。研究員 Stagno 正在社區中呼籲其他的安全研究員對自己使用的 VPN 客戶端進行測試，並將安全測試的結果分享出來。

他製作了一個Demo 測試網頁（https://ip.voidsec.com）用於瀏覽器環境的VPN測試。

同時在GitHub也有公開測試代碼，如果用戶想要進行本地測試也可以自行下載。

*如發現問題，大家也可以將測試結果評論在匯總文檔中：地址

自 2015 年開始出現的 WebRTC 問題

早在在 2015 年，安全研究員 Daniel Roesler 發現了 WebRTC 漏洞。 當時他發現如果客戶端是基於 NAT ，代理或 VPN 的，WebRTC STUN 伺服器在 WebRTC 連接時會保留用戶公網以及私網 IP 。

STUN 伺服器會將這些數據泄漏給那些已經與用戶瀏覽器進行了 WebRTC 連接的站點。

該漏洞出現之後，許多廣告商以及執法機構都會使用 WebRTC 漏洞來獲取網站訪客的IP地址。

多數瀏覽器默認開啟WebRTC

多年以來，瀏覽器們一直絞盡腦汁才將 WebRTC 集成到他們的代碼之中。

但為了應對這個漏洞，瀏覽器都推出了可以防止IP泄漏的官方插件，以削弱部分實時通訊功能為代價，換取安全性。但即便如此，除了Tor，Edge和Internet Explorer之外，多數瀏覽器都是默認開啟 WebRTC 的狀態。

以下是 Stagno 發現的受到IP泄漏影響 VPN提供商列表，詳細信息可以參閱 Stagno 的Google 文檔。

在其他的研究中，安全團隊還發現 115 個 VPN 客戶端中有 26 款保留了用戶某些類型的日誌文件。

END

參考來源：bleepingcomputer，編譯Elaine

轉載請註明FreeBuf.COM

深圳市極限網路科技有限公司專註於系統底層和網路攻防技術研究，是一家將網路安全與大數據人工智慧運用相結合的信息安全運營服務商，成立至今為我國關鍵信息基礎設施、政府部門、大中型企事業單位以及重點行業提供了全方位的網路安全解決方案以及專業的安全服務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！