WebRTC(網(wǎng)頁實(shí)時(shí)通信，Web Real-Time Communication)是一個(gè)支持網(wǎng)頁瀏覽器進(jìn)行實(shí)時(shí)語音對(duì)話或視頻對(duì)話的開源標(biāo)準(zhǔn)。使用WebRTC，用戶無需安裝其他軟件或?yàn)g覽器插件即可進(jìn)行即時(shí)通訊。近日WebRTC曝出安全漏洞，可能泄露用戶的真實(shí)IP地址，即使用戶使用了VPN。

[[127420]]

什么是WebRTC?

WebRTC實(shí)現(xiàn)了基于網(wǎng)頁的視頻會(huì)議，標(biāo)準(zhǔn)是WHATWG 協(xié)議，目的是通過瀏覽器提供簡單的javascript就可以達(dá)到實(shí)時(shí)通訊(Real-Time Communications (RTC))能力。

在去年的Google I/O 大會(huì)上，Google表示W(wǎng)ebRTC將支持超過十億個(gè)不同端點(diǎn)(桌面瀏覽器和移動(dòng)設(shè)備端)，也就是說WebRTC將應(yīng)用Chrome瀏覽器和Android移動(dòng)操作系統(tǒng)。

漏洞描述及影響

這個(gè)漏洞是在上月末被發(fā)現(xiàn)的。通過該漏洞，網(wǎng)站管理員可以輕易地通過WebRTC看到用戶的真實(shí)IP地址，即使用戶使用VPN隱藏自己的IP。

該漏洞影響了支持WebRTC的瀏覽器，包括Google Chrome和火狐，不過似乎只影響Windows操作系統(tǒng)。

漏洞原理

WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等協(xié)議棧對(duì)VoIP網(wǎng)絡(luò)中的防火墻或者NAT進(jìn)行穿透。用戶發(fā)送請(qǐng)求至服務(wù)器，STUN服務(wù)器會(huì)返回用戶所用系統(tǒng)的IP地址和局域網(wǎng)地址。

返回的請(qǐng)求可以通過JavaScript獲取，但由于這個(gè)過程是在正常的XML/HTTP請(qǐng)求過程之外進(jìn)行的，所以在開發(fā)者控制臺(tái)看不到。這意味著，這個(gè)漏洞的唯一要求就是瀏覽器要支持WebRTC和JavaScript。

你中招了嗎?

安全研究人員Daniel Roesler在GitHub上發(fā)布了一個(gè)演示，大家可以自己檢測一下有沒有中招。

你也可以通過下面的方法檢測：

1、連接VPN

2、訪問http://ipleak.net

[[127421]]

如果你的瀏覽器安全的話，你就會(huì)看到上面的畫面。

如果你的瀏覽器存在這個(gè)漏洞，你可以看到你的真實(shí)IP地址。

防御措施

Chrome用戶：

Google Chrome和其他基于Chromium的瀏覽器用戶可以安裝插件屏蔽WebRTC或者也可以安裝ScriptSafe插件。

Firefox用戶：

如果你使用的是Firefox瀏覽器，你可以安裝屏蔽JavaScript的插件如NoScript?；蛘吣阋部梢酝ㄟ^下列步驟修復(fù)：

1、在瀏覽器地址欄輸入about:config

2、在隨后出現(xiàn)的提示中點(diǎn)擊"我保證會(huì)小心”按鈕

3、搜索"media.peerconnection.enabled"

4、雙擊media.peerconnection.enabled首選項(xiàng)，是其值變?yōu)?quot;false"

這樣就關(guān)閉了Firefox中的WebRTC