image

Firefox en Chrome kunnen IP-adres VPN-gebruikers lekken

maandag 2 februari 2015, 12:29 door Redactie, 11 reacties

Firefox en Google Chrome hebben een technologie geïmplementeerd waardoor het IP-adres van VPN-gebruikers kan worden achterhaald. Daarvoor waarschuwt Daniel Roesler op GitHub. Het probleem wordt veroorzaakt door WebRTC, een door Google ontwikkeld opensourceproject dat browsers van Real-Time Communicatie (RTC) voorziet.

Zowel Firefox als Chrome hebben WebRTC geïmplementeerd waarbij de technologie zogeheten "STUN requests" naar STUN-servers kan versturen. Via deze requests kunnen de lokale en publieke IP-adressen van de gebruiker via JavaScript worden opgevangen. Dit is vooral een probleem voor VPN-gebruikers, die VPN's vaak gebruiken om hun identiteit te beschermen. Roesler maakte deze demonstratie om de IP-adressen op te vangen. Lezers van Reddit geven verschillende oplossingen voor het probleem, zoals het uitschakelen van WebRTC in Firefox en Chrome.

In Firefox kan dit door in de adresbalk "about:config" in te voeren en vervolgens "media.peerconnection.enabled" op "false" te zetten. Gebruikers van Google Chrome kunnen dit doen door in de adresbalk "chrome://flags/" in te voeren en vervolgens "Disable WebRTC device enumeration" aan te zetten. Andere oplossingen zijn het uitschakelen van JavaScript, het gebruik van Firefox NoScript of de Chrome-extensie WebRTC Block. Daarnaast krijgen VPN-gebruikers van TorGuard het advies om de VPN-tunnel direct op hun router in te stellen.

Reacties (11)
02-02-2015, 13:01 door [Account Verwijderd]
[Verwijderd]
02-02-2015, 13:16 door Anoniem
Best teleurstellend van Firefox.
02-02-2015, 13:57 door Anoniem
Dit probleem was al een tijd geleden aangekaart. Zie bijv:
https://github.com/ChrisAntaki/disable-webrtc-firefox

Goed dat er nu aandacht aan wordt besteed.

Reactie op Anoniem @13:16: dit is een feature van het protocol. Als firefox zo'n feature niet had geimplementeerd voldeed het niet aan de standaard en krijg je daar zeurende mensen over. Daarnaast zal waarschijnlijk niet zijn gedacht aan het mogelijk misbruik via VPN (of Tor-browsers).
02-02-2015, 14:17 door Anoniem
niet alleen firefox en chrome, zelfs opera bij mij lekt WebRTC
02-02-2015, 15:44 door choi
Een persoon had in ieder geval in 2013 een vooruitziende blik:
'I'm rather apprehensive about WebRTC, since it is something that adds a lot of complexity and potential security hazards to Pale Moon. In addition, pale Moon is (and should remain) a web browser, IMHO, and not try to double as a Skype client.
http://forum.palemoon.org/viewtopic.php?f=1&t=2948&view=unread
02-02-2015, 15:55 door Anoniem
Anoniem @13:16

Daar is de zeurmuts weer. NOOIT enig nuttig advies. Ga toch over op IE en stop met zeuren.

Wel nuttig advies:
Voor Firefox bestaat naast bovenstaande adviezen natuurlijk ook een extensie: "Disable WebRTC".

https://addons.mozilla.org/en-US/firefox/addon/happy-bonobo-disable-webrtc/?src=api

Controle of webRTC is uitgeschakeld?

https://diafygi.github.io/webrtc-ips/

Liefs, Chantal.
02-02-2015, 17:47 door choi
Door Anoniem: Anoniem @13:16

Daar is de zeurmuts weer. NOOIT enig nuttig advies. Ga toch over op IE en stop met zeuren.

Wel nuttig advies:
Voor Firefox bestaat naast bovenstaande adviezen natuurlijk ook een extensie: "Disable WebRTC".

https://addons.mozilla.org/en-US/firefox/addon/happy-bonobo-disable-webrtc/?src=api

Controle of webRTC is uitgeschakeld?

https://diafygi.github.io/webrtc-ips/

Liefs, Chantal.

Kusjes...
02-02-2015, 20:03 door Anoniem
Door Anoniem: Anoniem @13:16

Daar is de zeurmuts weer. NOOIT enig nuttig advies. Ga toch over op IE en stop met zeuren.

Wel nuttig advies:
Voor Firefox bestaat naast bovenstaande adviezen natuurlijk ook een extensie: "Disable WebRTC".

https://addons.mozilla.org/en-US/firefox/addon/happy-bonobo-disable-webrtc/?src=api

Controle of webRTC is uitgeschakeld?

https://diafygi.github.io/webrtc-ips/

Liefs, Chantal.
Nu vind ik het wel frappant dat jij weet wie die(zelfde?) anonieme zeurmuts is ;)

Bedankt voor de tip, die kende ik nog niet.
03-02-2015, 09:47 door Anoniem
in opera: "opera://flags/#disable-webgl"
03-02-2015, 17:35 door Acumen - Bijgewerkt: 03-02-2015, 17:37
Door Anoniem: Anoniem @13:16

Daar is de zeurmuts weer. NOOIT enig nuttig advies. Ga toch over op IE en stop met zeuren.

Wel nuttig advies:
Voor Firefox bestaat naast bovenstaande adviezen natuurlijk ook een extensie: "Disable WebRTC".

https://addons.mozilla.org/en-US/firefox/addon/happy-bonobo-disable-webrtc/?src=api

Controle of webRTC is uitgeschakeld?

https://diafygi.github.io/webrtc-ips/

Liefs, Chantal.
Lees het bericht en het had je weer een add-on bespaard:
Firefox: adresbalk "about:config" -> "media.peerconnection.enabled" op "false" zetten.
Google Chrome: adresbalk "chrome://flags/" -> "Disable WebRTC device enumeration" aan zetten.

Door Anoniem: Dit probleem was al een tijd geleden aangekaart. Zie bijv:
https://github.com/ChrisAntaki/disable-webrtc-firefox

Goed dat er nu aandacht aan wordt besteed.

Reactie op Anoniem @13:16: dit is een feature van het protocol. Als firefox zo'n feature niet had geimplementeerd voldeed het niet aan de standaard en krijg je daar zeurende mensen over. Daarnaast zal waarschijnlijk niet zijn gedacht aan het mogelijk misbruik via VPN (of Tor-browsers).

In TOR staat het (standaard) al uit. Slimme gasten ;-)
03-02-2015, 18:36 door Anoniem
WebRtc en privacy issues

Daar waren al een paar waarschuwingen voor de deur uit gedaan hoor, ook op deze site in de reacties.

23 dec 2014 - Fingerprint - Security.NL
https://www.security.nl/posting/413050/Fingerprint#posting413138

2 dec 2014
https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit#posting410492
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.