WebRTC(WebReal-TimeCommunication,网络实时通信)是一个开源标准,支持网络浏览器进行实时语音或视频对话。借助WebRTC,用户无需安装额外的软件或浏览器插件即可即时通信。最近,WebRTC暴露了一个安全漏洞,即使用户使用VPN,也可能泄露用户的真实IP地址。什么是WebRTC?WebRTC实现基于网页的视频会议。该标准是WHATWG协议。目的是通过浏览器提供简单的javascript来提供实时通信(Real-TimeCommunications(RTC))能力。在去年的谷歌I/O大会上,谷歌表示WebRTC将支持超过10亿个不同的端点(桌面浏览器和移动设备),这意味着WebRTC将应用Chrome浏览器和Android移动操作系统。漏洞描述及影响该漏洞于上月底被发现。通过这个漏洞,网站管理员可以很容易地通过WebRTC看到用户的真实IP地址,即使用户使用VPN隐藏了他们的IP。该错误会影响支持WebRTC的浏览器,包括GoogleChrome和Firefox,尽管它似乎只影响Windows操作系统。漏洞原理WebRTC利用STUN(SessionTraversalUtilitiesforNAT)、TURN、ICE等协议栈来穿透VoIP网络中的防火墙或NAT。用户向服务器发送请求,STUN服务器返回用户使用系统的IP地址和局域网地址。返回的请求可以通过JavaScript获取,但是由于这个过程是在正常的XML/HTTP请求过程之外进行的,所以在开发者控制台是看不到的。这意味着此漏洞利用的唯一要求是浏览器支持WebRTC和JavaScript。你被骗了吗?安全研究员DanielRoesler在GitHub上发布了一个演示,您可以自行检查。您也可以通过以下方法检查:1.连接VPN2,访问http://ipleak.net如果您的浏览器是安全的,您会看到如上画面。如果你的浏览器有这个漏洞,你就可以看到你的真实IP地址。Chrome用户的防御措施:GoogleChrome和其他基于Chromium的浏览器的用户可以安装插件来阻止WebRTC或安装ScriptSafe插件。Firefox用户:如果您使用的是Firefox浏览器,则可以安装阻止JavaScript的附加组件,例如NoScript。或者您也可以通过以下步骤修复:1.在浏览器地址栏输入about:config2.在稍后出现的提示中点击“我保证会小心”按钮3.搜索“media.peerconnection.已启用”4.双击媒体。peerconnection.enabled首选项更改为“false”,这会在Firefox中关闭WebRTC
