Η εφαρμογή WebRTC (Web Real-Time Communication) στους Google Chrome και Mozilla Firefox επιτρέπει την προβολή της δημόσιας και της εσωτερικής διεύθυνσης IP, ακόμη και αν η σύνδεση δρομολογείται μέσω ενός διακομιστή VPN.
Το WebRTC είναι ένα app ανοικτού κώδικα που παρέχει απλά APIs για να είναι δυνατή η επικοινωνία (φωνητικές κλήσεις, video chat και κοινή χρήση αρχείων P2P) μέσω web εφαρμογών κατευθείαν από τον browser μέσω ενός τυπικού συνόλου πρωτοκόλλων.
Αυτή τη στιγμή υποστηρίζεται από τους Chrome, Firefox και Opera web browsers και λειτουργεί επίσης στις κινητές πλατφόρμες Android και iOS.
Ο ερευνητής Ντάνιελ Roesler εξηγεί ότι το WebRTC στα δύο προγράμματα περιήγησης έχει ρυθμιστεί έτσι ώστε να επιτρέπει την υποβολή των IPs των requests σε έναν διακομιστή STUN (Session Traversal Utilities for Nat).
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Ένας διακομιστής STUN έρχεται σε επαφή μέσω UDP και επιτρέπει σε ένα client πίσω από τείχος προστασίας να επικοινωνήσει με έναν πάροχο VoIP εκτός του τοπικού δικτύου. Προσδιορίζει το IP gateway, καθώς και την εσωτερική IP που έχει αποδoθεί στον client έτσι ώστε να επιτρέψει την άμεση ανταλλαγή του traffic με αυτόν.
Τα αποτελέσματα των requests είναι διαθέσιμα σε JavaScript, αλλά επειδή γίνονται έξω από την κανονική διαδικασία XML / HTTP, δεν είναι ορατά στην κονσόλα του developer.
Επιπλέον, ο Roesler, λέει ότι αυτός είναι και ο λόγος για τον οποίο τα privacy enforcing plug-ins όπως το AdBlock ή το Ghostery δεν είναι σε θέση να τα μπλοκάρουν. “Αυτό κάνει αυτούς τους τύπους των requests να διατίθενται για online εντοπισμό αν ένας διαφημιστής δημιουργήσει ένα διακομιστή STUN με έναν τομέα wildcard», αναφέρει.
Ο developer δημιούργησε κώδικα για να αποδείξει το κενό ασφάλειας διαρροής πληροφοριών αποστέλλοντας μυστικά requests στους STUN servers που καταγράφουν τις κλήσεις. Ο Roesler δημοσίευσε το έργο του στο GitHub. Το demo δείχνει τόσο τις εξωτερικές όσο και των εσωτερικές διαυθύνσεις IP του client που συνδέεται μέσω VPN (Virtual Private Network), καθιστώντας δυνατή την παρακολούθηση της διαδρομής σύνδεσης.
Το πρόβλημα είναι γνωστό ότι στους προγραμματιστές της Google, οι οποίοι το χαρακτήρισαν ως ζήτημα προστασίας της ιδιωτικής ζωής και όχι ζήτημα που αφορά την ασφάλεια, και δεν έχουν καταλήξει σε συμφωνία για επιδιόρθωση του ζητήματος καθώς οι προτεινόμενες λύσεις θα έχουν αντίκτυπο στη λειτουργικότητα του WebRTC.
Η απενεργοποίηση του WebRTC μπορεί να γίνει με την εγκατάσταση της επέκτασης WebRTC Block για τον Chrome, ενώ στον Firefox το “media.peerconnection.enabled” πρέπει να οριστεί σε “false“.
