本文是翻译文章,文章原作者Catalin Cimpanu,文章来源:www.bleepingcomputer.com
原文地址:https://www.bleepingcomputer.com/news/security/many-vpn-providers-leak-customers-ip-address-via-webrtc-bug/
译文仅供参考,详细内容表达以及含义原文为准
约20% 的领先 VPN 办理方案因早在2015年1月涌现的 WebRTC 漏洞而透露用户的 IP 地址,然而一些 VPN 供应商彷佛从未听说过这个漏洞。
研究员 Paolo Stagno (笔名是 VoidSec)创造了这个问题,他最近针对这个老旧的 WebRTC IP 透露问题审计了83款 VPN 运用。Stagno 表示结果创造17个 VPN 客户端在通过浏览器浏览时透露用户的 IP 地址。
Stagno 在一份 Google Docs 电子表格中发布了审计结果,不过由于他个人无力承担测试所有商用 VPN 客户真个本钱因此所发布的清单是不完全的。
Stagno 目前正在哀求用户测试所利用的 VPN 客户端是否受影响并将结果发回给他。为此他设立了一个演示网页,用户必须在启用 VPN 客户真个条件下通过自己的浏览器才能访问。该页面运行的代码也已发布在 GitHub 上,供用户开展本地测试,从而无需导致自己的 IP 地址暴露在别人的做事器上。
自从2015年WebRTC 为人所熟知
Stagno 的代码是基于安全研究员 Daniel Roesler 在2015年1月创造的WebRTC 漏洞。当时,Roesler 创造,如果该客户端利用了 –NAT 网络、代理或 VPN 客户端,卖力调度 WebRTC 连接的 WebRTC STUN 做事器就会记录用户的公共 IP 地址以及私人 IP 地址。
问题在于,STUN 做事器该当会将这种信息表露给已经通过用户浏览器会谈了 WebRTC 连接的网站。此后,很多广告商和司法机构已经利用这个和 WebRTC 干系的漏洞得到网站访客的 IP 地址。
多数浏览器默认启用 WebRTC
当时,浏览器花费多年韶光在代码中集成了 WebRTC 支持,推出了阻挡 IP 透露的多种功能或官方扩展,只管它们导致 WebRTC 的某些实时通信功能遭毁坏。
只管如此,浏览器并未禁用 WebRTC,而且险些在所有主流浏览器中该功能仍旧被启用,除了 Tor、Edge 和 IE 浏览器外。
如下是 Stagno 创造易受 IP 透露问题影响的 VPN 供应商列表。截至目前,约80个商用 VPN 供应商尚未测试。可参考 Stagno 的 Google Docs 文档查看更新结果。
BolehVPN (仅美国)ChillGlobal (Chrome 和Firefox插件)Glype (取决于配置)hide-me.orgHola!VPNHola!VPN Chrome ExtensionHTTP PROXY:支持 Web RTC 的浏览器导航IBVPN Browser AddonPHP Proxyphx.piratebayproxy.copsiphon3(如利用 L2TP/IP则不会透露 IP 地址)PureVPNSmartHide Proxy (取决于配置)SOCKS Proxy:如浏览器启用 Web RTCSumRando Web ProxyTOR as PROXY:如浏览器启用 WebRTCWindscribe Addons
某些 VPN 做事网络日志
TheBestVPN.com 开展的研究表明,在所测115个 VPN 中,有26个 VPN 网络某种日志文件。
虽然这项研究并未剖析真实的 VPN 客户端安装程序,但每家做事均在网上公布了隐私策略。
