Rò rỉ WebRTC: Mối đe dọa quyền riêng tư tiềm ẩn

Hiểu biết về WebRTC

WebRTC là gì?

WebRTC (Giao tiếp thời gian thực trên web) là một dự án nguồn mở cho phép giao tiếp thời gian thực trực tiếp trong trình duyệt web mà không cần plugin. Được giới thiệu vào năm 2011 và hiện được tất cả các trình duyệt chính hỗ trợ, WebRTC hỗ trợ:

• Cuộc gọi thoại và video dựa trên trình duyệt (Google Meet, Zoom web)
• Công cụ cộng tác và chia sẻ màn hình
• Chia sẻ tệp (ngang hàng)
• Chơi game trong thời gian thực
• LPhát trực tiếp

Sức mạnh của

WebRTC đến từ việc thiết lập kết nối ngang hàng trực tiếp giữa các trình duyệt, bỏ qua các máy chủ trung gian truyền thống để có độ trễ thấp hơn và hiệu suất tốt hơn.

Cách WebRTC khám phá IP

của bạn Để thiết lập kết nối ngang hàng, WebRTC cần khám phá (các) địa chỉ IP của thiết bị của bạn. Quá trình này sử dụng máy chủ STUN (Tiện ích truyền tải phiên cho NAT):

1. Yêu cầu khám phá: Trình duyệt gửi yêu cầu tới máy chủ STUN
2. IP Revelation: Máy chủ STUN phản hồi bằng địa chỉ IP công cộng của bạn
3. Local Network Scan: WebRTC cũng liệt kê các giao diện mạng cục bộ và IP riêng
4. Candidate Collection: Tất cả các IP được phát hiện đều trở thành "ứng cử viên ICE"
5. Exchange: Các ứng cử viên này được trao đổi giữa các đồng nghiệp để kết nối

Vấn đề: Việc phát hiện IP này diễn ra tự động và có thể bỏ qua hoàn toàn đường hầm VPN của bạn.

A Giải phẫu rò rỉ WebRTC

WebRTC có thể tiết lộ điều gì

A Rò rỉ WebRTC có thể tiết lộ:

• Địa chỉ IP công khai: IP truy cập internet thực của bạn (ngay cả sau VPN)
• Private Địa chỉ IP: IP mạng nội bộ (192.168.x.x, 10.x.x.x)
• IPv6 địa chỉ: Địa chỉ IPv6 của bạn nếu có
• Cấu trúc liên kết mạng: Thông tin về mạng cục bộ của bạn cấu trúc
• ISP Thông tin: Có thể bắt nguồn từ IP
• Vị trí địa lý: Cấp thành phố dựa trên vị trí địa lý IP

Cách rò rỉ xảy ra

Ngay cả khi VPN đang hoạt động kết nối:

1. Bạn truy cập một trang web đã bật WebRTC
2. Trình kích hoạt JavaScript của trang web Cố gắng kết nối WebRTC
3. Browser sử dụng API WebRTC để khám phá các địa chỉ IP cục bộ
4. Browser gửi yêu cầu STUN bên ngoài đường hầm VPN. Máy chủ
5. STUN phản hồi bằng IP
6. Trang web JavaScript công khai thực sự của bạn thu thập tất cả các IP được phát hiện
7. IP thực sự của bạn hiện đã được biết mặc dù kết nối VPN

Kết quả:Trang web nhìn thấy cả IP VPN và IP thực của bạn cùng một lúc.

Kịch bản rò rỉ WebRTC trong thế giới thực

Scenario 1: Nhà báo

Một nhà báo ở một quốc gia bị hạn chế sử dụng VPN để truy cập các trang tin tức bị chặn và bảo vệ danh tính của họ. Họ điều hướng đến một nền tảng báo chí điều tra mà không biết rằng nó triển khai tính năng lấy dấu vân tay WebRTC. Tập lệnh phân tích của trang web ghi lại địa chỉ IP thực của nhà báo thông qua WebRTC, có khả năng tiết lộ danh tính của họ trước sự giám sát của chính phủ.

Impact: Rủi ro an toàn cá nhân, xâm phạm nguồn

Tình huống 2: Bộ thực thi bản quyền

Một người dùng tải torrent nội dung khi kết nối với VPN vì tin rằng IP của họ bị ẩn. Các công ty giám sát bản quyền sử dụng WebRTC trong phần mềm theo dõi của họ. Khi người dùng truy cập các trang web được liên kết với trình theo dõi torrent, WebRTC sẽ tiết lộ IP thực của họ, cho phép chủ bản quyền xác định chúng bất chấp việc sử dụng VPN.

Impact: Thông báo DMCA, hành động pháp lý được gửi tới IP thực/ISP

Scenario 3: Mạng quảng cáo được nhắm mục tiêu

Nhà quảng cáo nhúng dấu vân tay WebRTC vào pixel quảng cáo trên hàng nghìn trang web. Những người dùng cho rằng họ ẩn danh qua VPN sẽ bị theo dõi trên các trang web bằng cách sử dụng IP thực của họ được hiển thị thông qua WebRTC. Điều này tạo ra hồ sơ hành vi chi tiết gắn liền với danh tính thực tế của họ.

Impact: Vi phạm quyền riêng tư, theo dõi trên nhiều trang web, quảng cáo được nhắm mục tiêu

Phát hiện rò rỉ WebRTC

Công cụ kiểm tra trực tuyến

Một số trang web có thể phát hiện rò rỉ WebRTC ngay lập tức:

• BrowserLeaks.com/webrtc: Thông tin WebRTC toàn diện
• IPLeak.net: Hiển thị tất cả các IP được phát hiện bao gồm WebRTC
• Kiểm tra rò rỉ VPN của chúng tôi: Kiểm tra WebRTC rò rỉ

Điều cần tìm

Khi kiểm tra với VPN đang hoạt động, bạn sẽ thấy:

Bình thường (Bảo mật):

• Chỉ địa chỉ IP của nhà cung cấp VPN xuất hiện
• Không có IP mạng cục bộ nào bị lộ ra bên ngoài
• WebRTC bị vô hiệu hóa hoặc được định cấu hình đúng

Leak Đã phát hiện:

• IP công cộng thực sự của bạn xuất hiện cùng với VPN IP
• ISP khác nhau được hiển thị trong WebRTC phần
• Vị trí địa lý khác nhau được tiết lộ
• Các IP mạng cục bộ bị lộ (ít quan trọng hơn nhưng nhiều thông tin)

Kiểm tra bảng điều khiển trình duyệt thủ công

Bạn có thể kiểm tra rò rỉ WebRTC trực tiếp trong bảng điều khiển dành cho nhà phát triển trình duyệt:

{`// Mở bảng điều khiển trình duyệt (F12), dán mã này: var pc = new RTCPeerConnection({iceServers: [{urls: "stun:stun.services.mozilla.com"}]}); pc.createDataChannel(""); pc.createOffer().then(offer => pc.setLocalDescription(offer)); pc.onicecandidate = Ice => { if (!ice || !ice.candidate || !ice.candidate.candidate) return; var ip = /([0-9]{1,3}(\\.[0-9]{1,3}){3}|[a-f0-9]{1,4}(:[a-f0-9]{1,4}){7})/.exec(ice.candidate.candidate)[1]; console.log('Đã tìm thấy IP:', ip); }`}

Bất kỳ địa chỉ IP nào được ghi lại không khớp với VPN của bạn đều cho thấy có sự rò rỉ.

Ngăn chặn rò rỉ WebRTC

Trình duyệt Google Chrome và Chrome

Phương thức 1: Tiện ích mở rộng trình duyệt

Cài đặt tiện ích mở rộng kiểm soát WebRTC:

• WebRTC Leak Prevent: Phổ biến nhất, nhẹ
• uBlock Xuất xứ: Bao gồm tính năng bảo vệ WebRTC trong cài đặt
• Privacy Badger: Công cụ bảo mật chung với WebRTC control

Cấu hình (Ngăn chặn rò rỉ WebRTC):

1. Cài đặt tiện ích mở rộng từ Cửa hàng Chrome trực tuyến
2. Nhấp vào biểu tượng tiện ích mở rộng
3. Chọn tùy chọn "Tắt UDP (buộc proxy)"
4. Điều này ngăn WebRTC bỏ qua proxy/VPN

Phương pháp 2: Cờ Chrome (Nâng cao)

{`chrome://flags/#enable-webrtc-hide-local-ips-with-mdns Set to "Enabled"`}

Điều này ẩn danh các địa chỉ IP cục bộ do WebRTC.

Mozilla Firefox

Phương pháp 1: Cài đặt Firefox gốc (Được khuyến nghị)

1. Type about:config trong thanh địa chỉ
2. Chấp nhận cảnh báo và tiếp tục
3. Tìm kiếm: media.peerconnection.enabled
4. Chuyển sang false (tắt hoàn toàn WebRTC)

Để bảo vệ một phần (WebRTC hoạt động nhưng được bảo vệ chống rò rỉ):

{`media.peerconnection.ice.default_address_only = true media.peerconnection.ice.no_host = true media.peerconnection.ice.proxy_only_if_behind_proxy = true`}

Phương pháp 2: Tiện ích mở rộng Firefox

• Vô hiệu hóa WebRTC: Tiện ích mở rộng chuyển đổi đơn giản
• uBlock Xuất xứ: Bật "Ngăn chặn WebRTC rò rỉ địa chỉ IP cục bộ" trong cài đặt

Microsoft Edge

Edge (Dựa trên Chrome):

Giống như Chrome—sử dụng các tiện ích mở rộng như WebRTC Leak Prevent hoặc:

{`edge://flags/#enable-webrtc-hide-local-ips-with-mdns Set to "Enabled"`}

Safari (macOS/iOS)

macOS Safari:

1. Mở tùy chọn Safari
2. Chuyển tới tab Nâng cao
3. Kiểm tra "Hiển thị menu Phát triển trong thanh menu"
4. Từ Phát triển menu, chọn "Tính năng thử nghiệm"
5. Tìm và tắt "ứng viên WebRTC mDNS ICE"

iOS Safari:

Ltùy chọn giới hạn. Cách tiếp cận tốt nhất:

• Sử dụng VPN với tính năng chống rò rỉ WebRTC
• Sử dụng các trình duyệt thay thế có khả năng kiểm soát quyền riêng tư tốt hơn (Firefox Focus)

Opera & Brave

Opera:

1. Cài đặt → Quyền riêng tư & Bảo mật
2. Cuộn đến phần WebRTC
3. Chọn "Tắt UDP không được proxy"

Brave:

1. Cài đặt → Quyền riêng tư và bảo mật
2. Tìm "Chính sách xử lý IP WebRTC"
3. Chọn "Tắt UDP không được proxy" hoặc "Tắt WebRTC"

VPN Bảo vệ WebRTC cấp độ

Một số VPN cung cấp tính năng bảo vệ chống rò rỉ WebRTC tích hợp:

VPN Tiện ích mở rộng trình duyệt

• Tiện ích mở rộng chuyên dụng Bảo vệ WebRTC: Nhiều nhà cung cấp VPN cung cấp tiện ích mở rộng trình duyệt bao gồm chặn WebRTC
• Cấu hình tự động: Tiện ích mở rộng tự động định cấu hình cài đặt trình duyệt
• Thử nghiệm tích hợp: Phát hiện rò rỉ tích hợp công cụ

Quy tắc tường lửa cấp hệ thống

Người dùng nâng cao có thể định cấu hình quy tắc tường lửa để chặn lưu lượng STUN/TURN:

Linux (iptables):

{`# Block outbound STUN traffic (UDP 3478) sudo iptables -A OUTPUT -p udp --dport 3478 -j DROP # Block alternative STUN ports sudo iptables -A OUTPUT -p udp --dport 19302 -j DROP`}

Tường lửa Windows:

1. Tường lửa bảo vệ Windows → Cài đặt nâng cao
2. Quy tắc đi ra → Quy tắc mới
3. Port → UDP → Các cổng cụ thể: 3478, 19302
4. Chặn kết nối

Kiểm tra sau khi cấu hình

Sau khi triển khai các biện pháp bảo vệ, hãy xác minh rằng chúng đang hoạt động:

1. Kết nối với VPN và xác minh VPN IP
2. Truy cập trang web thử nghiệm WebRTC: VPN rò rỉ test
3. Kiểm tra kết quả: Chỉ nên hiển thị IP VPN, không phải IP
thực
4. Kiểm tra chức năng WebRTC: Nếu cần, hãy xác minh cuộc gọi video vẫn hoạt động
5. Kiểm tra lại sau khi cập nhật trình duyệt: Cập nhật có thể đặt lại cài đặt

WebRTC so với quyền riêng tư: Tìm sự cân bằng

Khi bạn cần WebRTC

Một số dịch vụ yêu cầu chức năng WebRTC:

• Hội nghị truyền hình dựa trên trình duyệt
• Công cụ cộng tác thời gian thực
• PLZ82XChia sẻ tệp ngang hàng
• Trò chơi dựa trên WebRTC

Giải pháp: Sử dụng các cấu hình trình duyệt khác nhau:

• Cấu hình bảo mật: WebRTC bị vô hiệu hóa, được sử dụng cho mục đích chung duyệt
• Hồ sơ công việc:Đã bật WebRTC, chỉ được sử dụng cho các dịch vụ cần thiết

Phương pháp tiếp cận thay thế

• Ứng dụng máy tính để bàn thay vì web: Sử dụng ứng dụng máy tính để bàn Zoom/Teams thay vì web phiên bản
• Bật chọn lọc: Chỉ bật WebRTC khi cần, tắt ngay sau
• Tor Trình duyệt: Đã tắt WebRTC theo mặc định với các biện pháp bảo vệ chống rò rỉ mạnh

Tương lai của WebRTC và Quyền riêng tư

Cải tiến trình duyệt

• mDNS ứng cử viên: Chrome/Edge hiện làm xáo trộn IP cục bộ bằng địa chỉ .local
• Lời nhắc cấp phép: Một số trình duyệt đang thử nghiệm quyền WebRTC request
• Chế độ bảo mật: Chế độ bảo mật nâng cao hạn chế khả năng của WebRTC

Những thách thức đang diễn ra

• WebRTC cần thiết cho các ứng dụng web hiện đại
• Cân bằng giữa chức năng và quyền riêng tư khó
• Chuẩn hóa trên các trình duyệt chưa hoàn thiện
• Các vectơ lấy dấu vân tay mới tiếp tục xuất hiện

Câu hỏi thường gặp

Conclusion

Rò rỉ WebRTC là một lỗ hổng nghiêm trọng có thể làm suy yếu hoàn toàn khả năng bảo vệ của VPN. Mặc dù WebRTC hỗ trợ các tính năng giao tiếp thời gian thực có giá trị nhưng cơ chế khám phá IP của nó có thể tiết lộ danh tính của bạn ngay cả khi bạn tin rằng mình được bảo vệ.

Những điểm đáng chú ý:

• Kiểm tra thường xuyên: Rò rỉ WebRTC rất dễ phát hiện nếu bạn kiểm tra
• Tắt khi không cần thiết: Hầu hết người dùng không cần WebRTC hàng ngày duyệt
• Sử dụng tiện ích mở rộng trình duyệt: Cách đơn giản nhất để giành quyền kiểm soát WebRTC
• Xác minh bảo vệ VPN: Không phải tất cả VPN đều bảo vệ khỏi rò rỉ WebRTC
• Luôn cập nhật: Cập nhật trình duyệt có thể đặt lại cài đặt WebRTC

Quyền riêng tư yêu cầu sự cảnh giác trên nhiều vectơ. Bảo mật kết nối VPN của bạn là chưa đủ—bạn còn phải bảo vệ khỏi rò rỉ ở cấp trình duyệt như WebRTC. Bằng cách hiểu cách WebRTC hoạt động và triển khai các biện pháp bảo vệ được nêu trong hướng dẫn này, bạn có thể thu hẹp khoảng cách quan trọng về quyền riêng tư này.