ثغرة في WebRTC تسرب عناوين IP الحقيقية لمستخدمي VPN

WebRTC وهي اختصار ل Web Real-Time Communication ، وهو معيار مفتوح المصدر التي تمكن المتصفحات من إجراء المكالمات الصوتية أو الفيديو بدون الحاجة إلى أي المكونات الإضافية.

تم مؤخرا اكتشاف ثغرة حرجة للغاية تمكن صاحب الموقع أن يرى بسهولة عنوان IP الحقيقي للمستخدمين من خلال WebRTC، حتى لو كان المستخدم يستخدم  VPN أو حتى PureVPN لإخفاء عناوين IP الحقيقي الخاص بهم.

هذه الثغرة تؤثر على دعم WebRTC الذي تستخدمه العديد من المتصفحات مثل جوجل كروم وموزيلا فايرفوكس، وهذه الثغرة تقتصر على نظام التشغيل ويندوز فقط .

كيف تعمل ثغرة WebRTC ؟

WebRTC يسمح بالطلبات التي ينبغي إدخالها على STUN (جلسة عبور الملرافقة ل NAT) للخوادم و التي تعود "مخفية" و تحمل عنوان IP ألرئيسي، فضلا عن عناوين الشبكة المحلية للنظام الذي يتم استخدامه من قبل المستخدم.

ونتائج طلبات يمكن الوصول إليها باستخدام جافا سكريبت، ولكن لأنها مصنوعة خارج الإجراء طلب XML / HTTP العادي، فهي ليست واضحة في وحدة التحكم المطور. وهذا يعني أن الشرط الوحيد لهذا العمل هو دعم WebRTC في المتصفح وجافا سكريبت.

لتتحقق بنفسك :

من اجل التحقق بنفسك يمكنك استعمال الأداة التي قام بنشرها المطور Daniel Roesler على GitHub من أجل اختبار الثغرة

• الأداة

وأيضا، يمكنك ذلك من خلال الخطوات التالية:

• الاتصال ExpressVPN
• زيارة http://ipleak.net

إذا كان المستعرض الخاص بك هو آمن، يجب أن نرى هكذا:

إذا كان المتصفح الخاص بك مصاب، سترى المعلومات حول عنوان IP الحقيقي الخاص بك في قسم WebRTC كالتالي :

كيف تحمي نفسك؟

من حسن الحظ ان ثغرة الحرجة من السهل إصلاحها.

بالنسبة لمستخدمي كروم:

جوجل كروم وغيرها من مستخدمي متصفح القائمة على الكروم يمكن تثبيت التمديد WebRTC Block أو ScriptSafe، وكلاهما يمنع الثغرة من العمل.

بالنسبة لمستخدمي فايرفوكس:

في حالة فايرفوكس، ملحقات الوحيدة التي تعمل على منع هذه عمليات  هي منع الجافا سكريبت من خلال الملحقات المنع مثل NoScript. ولإصلاح، و اتبع الخطوات التالية:

1. اكتب about:config في شريط عنوان المتصفح وتصل إلى تدخل.
2. تأكيد سوف تكون حذرا إذا كان يظهر موجه.
3. البحث عن media.peerconnection.enabled.
4. انقر نقرا مزدوجا فوق الأفضلية لتعيينها إلى false.
5. هذا يقوم بإيقاف تمتوافق مع WebRTC في فايرفوكس.