WebRTC特性导致用户IP地址泄露

作者:{Hey-x1, sjw }@ArkTeam

WebRTCWeb Real-Time Communication)是一个支持浏览器网页进行实时语音对话或视频对话的技术。但是,WebRTC在提升用户体验的同时,也带来了用户IP泄露的问题,并且即使用户使用了VPN等代理也无法防御IP泄露的风险。近日,安全研究员Paolo StagnoVoidSec)公开了他的研究成果:对83VPN应用程序进行了安全审计测试,发现大约有20%VPN方案提供商会因为WebRTC 漏洞泄漏用户IP


WebRTC本质是一种P2P的通讯方式,为了能够穿透NAT设备,通信双方在建立网络连接之前,先要互相知道对方的公网IP地址和端口。浏览器借助STUNTURN服务器,可以获取到自己的公网IP址,从而造成了用户外网IP的泄露。STUNTURN都采用UDP传输,因此Tor代理同样存在泄露用户真实IP地址的风险。Arkteam此前就曾通过实验证明,如果一些用户采用Chrome + Tor代理或者Firefox + Tor代理的不安全接入方法,网站服务器和中间人结点就有机会利用WebRTC的特性获取Tor用户的真实IP地址!

参考文献:

[1] http://www.freebuf.com/articles/web/166754.html

[2] https://blog.csdn.net/dj0379/article/details/52248369

发表评论

电子邮件地址不会被公开。 必填项已用*标注