Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

Протягом останніх декількох років ми спостерігали справжню лавину порушень безпеки та витоку даних, тоді як Конгрес прийняв закони, які знімають те, що мало регулювання, щоб контролювати, як інтернет-провайдери збирають та продають ваші дані. Це призвело до того, що багато людей шукали сторонні рішення щодо конфіденційності. Віртуальні приватні мережі (VPN) пропонують вирішення деяких з цих проблем, маскуючи свої навички перегляду, але тільки якщо VPN самі є безпечними. Нові дослідження в галузі безпеки свідчать, що багато з них не є.

Паоло Стагно, який вирушає від VoidSec, склав повний список постачальників VPN і веб-браузерів, які вплинули на помилку. WebRTC - це проект з відкритим кодом, який забезпечує аудіо- та відеозв'язок безпосередньо в браузері без необхідності інтеграції сторонніх програм. Аудіо-, відео- та мережеві компоненти можна отримати в браузері через API JavaScript. Цей дефект не є новим - він був виявлений у 2015 році, але постачальники не зробили хорошої роботи щодо її виправлення.

Критичний дефект безпеки VPN виводить IP-адреси клієнтів

До цього часу VoidSec перевірив загалом 70 VPN і виявив, що 16 з них витокують дані за допомогою цієї відомої помилки WebRTC. Він також створив веб-сайт, за допомогою якого ви можете перевірити, чи виявляє ваша VPN інформація, демонстраційний код, який ви можете запустити, якщо ви не бажаєте надсилати свою IP-адресу веб-хосту, і документ Google, на який користувачі можуть надати власні висновки. Для того, щоб функціонувати, VPN повинна знати як свою реальну IP-адресу, так і загальну IP-адресу, яку вона призначила для вас. WebRTC не повинен дозволити запитувати цю інформацію, але завдяки цій помилці вона може. Це означає, що протокол може бути використаний для розкриття будь-кого, хто використовує VPN. VoidSec пише:

WebRTC дозволяє робити запити для серверів STUN, які повертають "приховану" домашню IP-адресу, а також локальні мережеві адреси для системи, яка використовується користувачем.

Результати запитів можна отримати за допомогою JavaScript, але оскільки вони виконані за звичайною процедурою запиту XML / HTTP, вони не відображаються на консолі розробника.

Єдина вимога до цієї технології деанонімізації - це підтримка WebRTC та JavaScript за допомогою браузера.

Наступні VPN-адреси виходять з IP-адрес:

Що стосується вразливості на рівні браузера, радимо, щоб більшість веб-переглядачів покладалися на WebRTC і включили його за умовчанням. BleepingComputer також зазначає, що ще одне недавнє дослідження TheBestVPN.com показало, що багато відомих постачальників VPN також записують критичні дані користувача, включаючи VyprVPN, Anonymizer, HideMyAss і HolaVPN. Різні компанії записують різні речі, але принаймні деякі з цих компаній реєструються особистими даними, IP-адресами, термінами зв'язку, типом пристроїв, платіжною інформацією та різними веб-сайтами, які ви відвідуєте. Коротше кажучи, не вважайте, що саме тому, що ви використовуєте VPN, ваші дані фактично залишаються привабливими будь-яким змістовним способом.