Wer sich zum Surfen mit anonymer IP einfach auf ein VPN verlässt und sonst einen normalen Firefox Browser verwendet, sollte sofort handeln. Trotz diverser Datenschutz Addons, könnte der Betreiber der Webseite die echte IP sehen.
WebRTC dient der Echtzeitkommunikation. Also Sprach- und Videotelefonie via Internet, z.B. wie Skype oder SIP. Um Firewalls und NATs zu umgehen, gibt es dort die sogenannten STUN-Server. Diese dienen dazu, auch angerufen werden zu können, wenn man nur eine lokale IP z.B. aus dem Bereich 192.168.x.x hat.
Die Implementierung in Firefox erlaubt es nun, über ein Javascript auf einer Webseite, sämtliche lokalen, aber auch die IPs von VPN und Kabel/DSL Provider auszulesen. Zunächst erhält das Javascript die IPs nur lokal, kann sie dann aber über Umwege wieder an den Server schicken. Der Betreiber erhält die echte IP, die Anonymisierung per VPN ist ausgehebelt.
Betroffen ist auch der Google Browser Chrome sowie Opera. Die Lücke funktioniert jedoch nicht mit dem Internet Explorer oder einem Firefox mit JondoFox Profil (sie wird duch das JonDo AddOn geblockt, ein deaktiviertes NoScript ist unschädlich). Abgeschaltetes Javascript schützt selbstverständlich auch.
Hier kann es jeder selbst testen (bei VPN Nutzung auch auf die zweite öffentliche IP achten).
Was kann man tun?
Wer WebRTC nicht braucht, sollte es abschalten.
Dazu wird in about:config einfachmedia.peerconnection.enabled auf false gesetzt.
Chrome Nutzer sollten das Add-On Block WebRTC installieren.
Opera Nutzer können ein Plugin installieren, was sie Chrome Add-Ons laden lässt und dann das oben genannte Chrome Add-On installieren.
Warum ist das so gefährlich?
Nicht nur der Betreiber der Webseite kann diese Lücke einsetzen und z.B. einen Honeypot aufsetzen um die echte Identität eines Besuchers herauszufinden. Denkbar ist auch, dass eine bestehende Seite von einem Angreifer gehackt und mit diesem Code versehen wird. Oder z.B. Webmail Anbieter werden von den Behörden gezwungen, diese Sicherheitslücke auf ihre Seite einzubauen, um an die wahre Identität eines bisher anonymen Postfaches zu kommen.
Seit gestern funktioniert das o.e. Tool nicht mehr. Gibt es gleichwertige Alternativen?
Кстати: я очень люблю скриншоты на русском языке на немецком странице. Разве что Путин наносит ответный удар, чтобы отомстить за санкций? 😉
Das gilt nicht nur für FireFox, sondern *jeden* modernen Browser.
Und *insbesondere* auch für browsing over Tor (oder JAP) mit normalem Browser (den aktuellen speziellen JAP/Tor-Browser habe ich nicht gecheckt (nutze das nicht), machst Du das, Admin)?!
Die aktuelle Version 4.0.3 des Tor Browserbundles für Win zeigt unter https://diafygi.github.io/webrtc-ips/ keinerlei Adressen an (auch bei deaktiviertem Noscript).