Anonym im Netz Schütze Deine Identität
  • facebook

sicherheitsluecken-firefox-chrome-bildnetzwelt-16572Wer sich zum Surfen mit anonymer IP einfach auf ein VPN verlässt und sonst einen normalen Firefox Browser verwendet, sollte sofort handeln. Trotz diverser Datenschutz Addons, könnte der Betreiber der Webseite die echte IP sehen.

WebRTC dient der Echtzeitkommunikation. Also Sprach- und Videotelefonie via Internet, z.B. wie Skype oder SIP. Um Firewalls und NATs zu umgehen, gibt es dort die sogenannten STUN-Server. Diese dienen dazu, auch angerufen werden zu können, wenn man nur eine lokale IP z.B. aus dem Bereich 192.168.x.x hat.

Die Implementierung in Firefox erlaubt es nun, über ein Javascript auf einer Webseite, sämtliche lokalen, aber auch die IPs von VPN und Kabel/DSL Provider auszulesen. Zunächst erhält das Javascript die IPs nur lokal, kann sie dann aber über Umwege wieder an den Server schicken. Der Betreiber erhält die echte IP, die Anonymisierung per VPN ist ausgehebelt.

Betroffen ist auch der Google Browser Chrome sowie Opera. Die Lücke funktioniert jedoch nicht mit dem Internet Explorer oder einem Firefox mit JondoFox Profil (sie wird duch das JonDo AddOn geblockt, ein deaktiviertes NoScript ist unschädlich). Abgeschaltetes Javascript schützt selbstverständlich auch.

Hier kann es jeder selbst testen (bei VPN Nutzung auch auf die zweite öffentliche IP achten).

Was kann man tun?

Wer WebRTC nicht braucht, sollte es abschalten.

32ba008257978e25dd58

Dazu wird in about:config einfachmedia.peerconnection.enabled auf false gesetzt.

Chrome Nutzer sollten das Add-On Block WebRTC installieren.

Opera Nutzer können ein Plugin installieren, was sie Chrome Add-Ons laden lässt und dann das oben genannte Chrome Add-On installieren.

 

Warum ist das so gefährlich?

Nicht nur der Betreiber der Webseite kann diese Lücke einsetzen und z.B. einen Honeypot aufsetzen um die echte Identität eines Besuchers herauszufinden. Denkbar ist auch, dass eine bestehende Seite von einem Angreifer gehackt und mit diesem Code versehen wird. Oder z.B. Webmail Anbieter werden von den Behörden gezwungen, diese Sicherheitslücke auf ihre Seite einzubauen, um an die wahre Identität eines bisher anonymen Postfaches zu kommen.

VPN wirkungslos – WebRTC in Firefox & Chrome verrät sämtliche IPs
Bewerten Sie diesen Beitrag

Comments (4)

  1. chris l said on 18-02-2015

    Seit gestern funktioniert das o.e. Tool nicht mehr. Gibt es gleichwertige Alternativen?

  2. Ann O. Nyma said on 11-02-2015

    Кстати: я очень люблю скриншоты на русском языке на немецком странице. Разве что Путин наносит ответный удар, чтобы отомстить за санкций? 😉

  3. Ann O. Nyma said on 10-02-2015

    Das gilt nicht nur für FireFox, sondern *jeden* modernen Browser.
    Und *insbesondere* auch für browsing over Tor (oder JAP) mit normalem Browser (den aktuellen speziellen JAP/Tor-Browser habe ich nicht gecheckt (nutze das nicht), machst Du das, Admin)?!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.