کاربران
VPN و
Proxy ها اگر اقدامات لازم برای ایمن کردن حساب کاربریشان را انجام ندهند میتوانند با مشکلات جدیای روبهرو شوند. این حفره به وبسایتها اجازه میدهد تا آدرس اینترنتی ( IP ) واقعی کاربران را ببینند، اما راه حلی برای این مشکل وجود دارد. این حفرهی امنیتی به دلیل WebRTC (ارتباطات بیدرنگ وب) و مرورگرهایی که این پروتکل را پشتیبانی میکنند به وجود میآید.
WebRTC چیست؟
Web RTC تکنولوژیای است که مشارکت مرورگر وب در ارتباطات بیدرنگ را آسان میکند.
WebRTC پروتکلی متن باز است که به برنامههای درون مرورگر همچون تماس صوتی، چت ویدیویی و برنامههای اشتراک فایل اجازه میدهد ارتباط مرورگر به مرورگر ایجاد کنند. این پروتکل افزونهای محبوب است که در بیشتر مرورگرهای اینترنتی از جمله فایرفاکس و کروم نیز موجود است.
آدرس های اینترنتی چگونه لو میروند؟
در این حفرهی امنیتی، وبسایتها با یک اسکریپت ساده میتوانند به اطلاعات آدرس IP در STUN server دست پیدا کنند. این STUN server ها توسط
VPN (
فیلتر شکن مانند:
کریو ) ها و برای تبدیل آدرس محلی به آدرس عمومی و برعکس استفاده میشود و از پروتکل NAT استفاده میکنند. برای این کار STUN server جدولی از آدرسهای IP عمومی و آدرسهای IP محلی (واقعی) در زمان اتصال را در اختیار دارد. آدرس اینترنتیمحلی و عمومی کاربران میتواند توسط یک درخواست Javascript به دست بیاید. مودمهای وایرلس خانهها نیز از فرآیند مشابهی برای تبدیل آدرس اینترنتی خصوصی به آدرس عمومی استفاده میکنند.

Web RTC Security Bug
محققی در سان فرانسیسکو، دنیل روسلر، پستی ارسال کرده که نشان میدهد این حفره چگونه کار میکند. STUN server پینگی میفرستد که شامل آدرس IP و پورت کاربر است. پیشنمایش روسلر مدعی است که افزونههای مرورگرها نمیتواند جلوی این آسیبپذیری را بگیرد اما راهحلهای آسانی برای برطرف کردن این مشکل وجود دارد.
چه کسانی در خطرند و این حفرهی امنیتی را چگونه میتوان ترمیم کرد؟
با این که گزارشهایی هست مبنی بر این که فقط کاربران ویندوز در معرض خطر این حفرهی امنیتی هستند، این حفره، حفرهای مربوط به مرورگرهاست. هم کاربران ویندوز و هم کاربران مکینتاش در خطرند. مرورگرهای پیشفرض Internet Explorer و Safari تحت تاثیر این حفرهی امنیتی نیستند. اما کاربران فایرفاکس و کروم باید این حفره را برطرف کنند.
کاربران فایرفاکس میتوانند با دانلود افزونهی NoScript یا با تایپ کردن about:config در address bar و تغییر ‘media.peerconnection.enabled‘ به ‘False’ این کار را انجام دهند.
کاربران کروم میتوانند افزونههایی همچون WebRTC Block یا ScriptSafe را نصب کنند یا در address bar عبارت chrome://flags/ را وارد کنند و ‘Disable WebRTC device enumeration.’ را فعال کنند.
همچنین کاربرانی که از این مرورگرها استفاده میکنند میتوانند مودم خود را طوری تنظیم کنند که به صورت مستقیم به سرویس vpn شان وصل شود. این کار جلوی لو رفتن IP واقعیشان توسط نرمافزارها (از جمله مرورگرها) را میگیرد.