约20% 的领先 VPN 解决方案因早在2015年1月出现的 WebRTC 漏洞而泄露用户的 IP 地址,然而一些 VPN 提供商似乎从未听说过这个漏洞。
Canthink安全研究员发现了这个问题,并针对这个老旧的 WebRTC IP 泄露问题审计了83款 VPN 应用。他表示结果显示17个 VPN 客户端在通过浏览器浏览时泄露用户的 IP 地址。
Canthink安全研究员在一份 Google Docs 电子表格中发布了审计结果,不过由于他个人无力承担测试所有商用 VPN 客户端的成本因此所发布的清单是不完整的。Canthink安全研究员目前正在要求用户测试所使用的 VPN 客户端是否受影响并将结果发回给他。为此他设立了一个演示网页,用户必须在启用 VPN 客户端的前提下通过自己的浏览器才能访问。该页面运行的代码也已发布在 GitHub 上,供用户开展本地测试,从而无需导致自己的 IP 地址暴露在别人的服务器上。
目录
自从2015年WebRTC为人所熟知
Canthink安全研究员的代码基于其在2015年1月发现的WebRTC 漏洞。当时,安全研究员发现,如果该客户端使用了 –NAT 网络、代理或 VPN 客户端,负责调解 WebRTC 连接的 WebRTC STUN 服务器就会记录用户的公共 IP 地址以及私人 IP 地址。
问题在于,STUN 服务器应该会将这种信息披露给已经通过用户浏览器谈判了 WebRTC 连接的网站。此后,很多广告商和执法机构已经使用这个和 WebRTC 相关的漏洞获得网站访客的 IP 地址。
多数浏览器默认启用WebRTC
当时,浏览器花费多年时间在代码中集成了 WebRTC 支持,推出了阻止 IP 泄露的多种功能或官方扩展,尽管它们导致 WebRTC 的某些实时通信功能遭破坏。
尽管如此,浏览器并未禁用 WebRTC,而且几乎在所有主流浏览器中该功能仍然被启用,除了 Tor、Edge 和 IE 浏览器外。
如下是Canthink安全研究员发现易受 IP 泄露问题影响的 VPN 提供商列表。截至目前,约80个商用 VPN 提供商尚未测试。
BolehVPN (仅美国) ChillGlobal (Chrome 和Firefox插件) Glype (取决于配置) hide-me.org Hola!VPN Hola!VPN Chrome Extension HTTP PROXY:支持 Web RTC 的浏览器导航 IBVPN Browser Addon PHP Proxyphx.piratebayproxy.co psiphon3(如使用 L2TP/IP则不会泄露 IP 地址) PureVPN SmartHide Proxy (取决于配置) SOCKS Proxy:如浏览器启用 Web RTC SumRando Web ProxyTOR as PROXY:如浏览器启用 WebRTC Windscribe Addons某些 VPN 服务收集日志
TheBestVPN.com 开展的研究表明,在所测115个 VPN 中,有26个 VPN 收集某种日志文件。
虽然这项研究并未分析真实的 VPN 客户端安装程序,但每家服务均在网上公布了隐私策略。
◆ 小提醒 ◆
依赖VPN服务保护隐私的用户,应该经常关注一下自己的系统使用什么传输协议,选择覆盖了这些协议的VPN服务,或者至少关闭那些没有在用的协议。
此外还应该知道,VPN技术不是设计来提供隐私保护,而是提供一种更安全的方式经由非受信网络接入公司内部网络基础设施的。