WebRTC(網頁即時通信,Web Real-Time Communication) 它允許瀏覽器內進行實時語音或視頻對話,而無需添加額外的瀏覽器擴展。包括 Chrome、Firefox、Opera、Safari 均支持,並且在移動端也有支持。雖然此功能可能對某些用戶有用,但它會對任何使用 VPN 的人構成威脅。WebRTC 漏洞的可怕之處在於,即使你用 VPN 代理上網仍然會暴露自己的真實 IP 地址。
WebRTC 漏洞原理
WebRTC 這個漏洞是在 2015 年初被發現的。通過該漏洞,網站管理員可以輕易地通過 WebRTC 看到用戶的真實 IP 地址,即使用戶使用 VPN 隱藏自己的 IP。 該漏洞影響支持 WebRTC 的瀏覽器,包括 Chrome 和 Firefox 瀏覽器。
WebRTC 采用 STUN(Session Traversal Utilities for NAT)、TURN 和 ICE 等協議棧對 VoIP 網絡中的防火牆或者 NAT 進行穿透。用戶發送請求至服務器,STUN 服務器會返回用戶所用系統的 IP 地址和局域網地址。
返回的請求可以通過 JavaScript 獲取,但由於這個過程是在正常的 XML/HTTP 請求過程之外進行的,所以在開發者控制台看不到。這意味着,這個漏洞的唯一要求就是瀏覽器要支持 WebRTC 和 JavaScript。
檢查你的瀏覽器是否暴露了 IP
① 連接 VPN 代理
如果在 WebRTC 的部分看到了公網 IP 地址,則說明你已經暴露了身份信息。
WebRTC 漏洞防范措施
對於用戶來說,如果不想自己的真實IP地址泄漏,可以通過禁用 WebRTC 來防止真實 IP 地址泄漏。
Chrome 安裝擴展禁用
- 安裝「WebRTC Leak Prevent」擴展
- 將「IP handling policy」選項設置為「Disable non-proxied UDP (force proxy)」
- 點擊「Apply Settings」以應用
Firefox 修改配置禁用
- 在瀏覽器地址欄輸入「about:config」回車
- 搜索「media.peerconnection.enabled」字段
- 雙擊「media.peerconnection.enabled」首選項,使其值變為「false」
更多隱私檢測
- 檢測 IP 泄漏:https://ipleak.net
- 檢測 WebRTC 泄漏:https://diafygi.github.io/webrtc-ips/
- 檢測 WebRTC 泄漏:https://www.expressvpn.com/webrtc-leak-test
- 檢測 WebRTC 泄漏:https://www.privacytools.io/webrtc.html
- 設備信息檢測:https://do-know.com/privacy-test.html
- WebRTC 漏洞檢測:https://www.perfect-privacy.com/webrtc-leaktest/
- 瀏覽器泄漏檢測:https://browserleaks.com/webrtc