Un error crític de seguretat de VPN perd les adreces IP del client

VPN-Prohibició

Durant els darrers anys, hem vist una autèntica allau d’incompliments de seguretat i filtracions de dades, mentre que el Congrés ha aprovat lleis que demolien la poca regulació que existia per controlar com els ISP recullen i venen les vostres dades. Això ha portat a moltes persones a buscar solucions de privadesa de tercers. Les xarxes privades virtuals (VPN) ofereixen una solució a alguns d’aquests problemes emmascarant els hàbits de navegació, però només si les VPN són elles mateixes segures. Una nova investigació sobre seguretat suggereix que molts d’ells no ho són.



Paolo Stagno, que se'n va per VoidSec , ha elaborat una llista completa dels proveïdors de VPN i navegadors web afectats per l'error. WebRTC és un projecte de codi obert que proporciona comunicació d'àudio i vídeo directament al navegador sense necessitat intrínseca d'integrar aplicacions de tercers. Es pot accedir als components d’àudio, vídeo i xarxes des del navegador mitjançant l’API JavaScript. Aquest defecte no és nou (es va descobrir el 2015), però els proveïdors no han fet una bona feina de corregir-lo.

Navegador WebRTC



VoidSec va provar un total de 70 VPN fins ara i va trobar que 16 d'elles filtraven dades mitjançant aquest conegut error de WebRTC. També va crear un lloc web podeu provar si la vostra informació VPN fuita, codi de demostració podeu executar-lo si no voleu enviar la vostra adreça IP a un amfitrió web i a Document de Google on els usuaris poden enviar les seves pròpies troballes. Per funcionar, una VPN ha de conèixer tant la vostra adreça IP real com l’adreça IP pública que us ha assignat. No s’hauria de permetre que WebRTC consulti aquesta informació, però gràcies a aquest error, sí. Això significa que el protocol es pot utilitzar per desenmascarar qualsevol persona que faci servir una VPN. VoidSec escriu:



WebRTC permet fer sol·licituds als servidors STUN que retornen l'adreça IP de casa 'oculta', així com adreces de xarxa locals per al sistema que l'usuari utilitza.

Es pot accedir als resultats de les sol·licituds mitjançant JavaScript, però com que es fan fora del procediment normal de sol·licitud XML / HTTP, no són visibles a la consola del desenvolupador.

L’únic requisit perquè funcioni aquesta tècnica de desanonimització és la compatibilitat amb WebRTC i JavaScript del navegador.



Les següents VPN filtren adreces IP:

  • BolehVPN (només als EUA)
  • ChillGlobal (connector de Chrome i Firefox)
  • Glype (depèn de la configuració)
  • hide-me.org
  • Hola! VPN
  • Hola! VPN Chrome Extension
  • Navegació HTTP PROXY al navegador que admet Web RTC
  • Complement del navegador IBVPN
  • NordVPN
  • Proxy PHP
  • phx.piratebayproxy.co
  • Túnel privat
  • psiphon3 (no fuita si s'utilitza L2TP / IP)
  • Proxy SOCKS en navegadors amb Web RTC activat
  • Servidor intermediari web SumRando
  • TOR com a PROXY en navegadors amb Web RTC activat
  • Complements Windscribe

Pel que fa a la vulnerabilitat a nivell de navegador, tingueu en compte que la majoria dels navegadors confien en WebRTC i l'activen per defecte. BleepingComputer també notes que una altra investigació recent de TheBestVPN.com va trobar que molts proveïdors de VPN destacats també registren detalls crítics d'usuari, inclosos VyprVPN, Anonymizer, HideMyAss i HolaVPN. Diferents empreses registren coses diferents, però les dades personals, les adreces IP, les marques de temps de connexió, els tipus de dispositius, la informació de pagament i els diversos llocs web que visiteu són registrats per almenys algunes d’aquestes empreses. En resum, no suposeu que només perquè feu servir una VPN, les vostres dades es mantinguin privades de manera significativa.

Ara llegeix Els millors serveis VPN de PCMag del 2018 .



Copyright © Tots Els Drets Reservats | 2007es.com