В технологии WebRTC (http://dev.w3.org/2011/webrtc/editor/webrtc.html), предоставляющей средства для аудио- и видео-коммуникаций в режиме реального времени, выявлена проблема с безопасностью (https://github.com/diafygi/webrtc-ips), позволяющая на внешнем сайте определить внутренний IP-адрес пользователя, используемый до трансляции адресов.

Метод достаточно прост в реализации и основывается на особенностях работы механизма STUN (https://ru.wikipedia.org/wiki/STUN), используемого в WebRTC для организации соединения к системе, выходящей в Сеть через транслятор адресов. Протестировать работу метода можно на данной странице (https://diafygi.github.io/webrtc-ips/), на которой будет показан intranet-адрес. Метод работает в Chrome и Firefox.

Информация о внутреннем адресе, например, может использоваться злоумышленниками для определения адреса внутреннего интерфейса шлюза для проведение дальнейшей CSRF-атаки (https://ru.wikipedia.org/wiki/%D0%9C%D0%... через браузер пользователя. Информация также может использоваться рекламными сетями для скрытого отслеживания перемещений пользователя по сети, так как запросы от STUN-сервера не фигурируют в web-консоли и не могут быть заблокированы такими дополнениями, как AdBlockPlus и Ghostery.

URL: https://share.naturalnews.com/p/125002
Новость: http://www.opennet.dev/opennews/art.shtml?num=41606

• WebRTC позволяет узнать внутренний IP-адрес пользователя,Будочки, 14:40 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,vitalif, 15:42 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,soarin, 14:52 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 15:58 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 17:14 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 14:55 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 15:09 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 15:18 , 04-Фев-15
      • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 18:57 , 04-Фев-15
        • WebRTC позволяет узнать внутренний IP-адрес пользователя,Виталя, 19:08 , 04-Фев-15
      • WebRTC позволяет узнать внутренний IP-адрес пользователя,Anonplus, 02:36 , 05-Фев-15
        • WebRTC позволяет узнать внутренний IP-адрес пользователя,ананана, 11:20 , 05-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,dimqua, 19:16 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,anon1, 14:56 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 16:53 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:18 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 19:44 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:19 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Михрютка, 15:02 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 16:54 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,imprtat, 15:18 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,th3m3, 15:27 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,imprtat, 11:17 , 05-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:20 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,жабабыдлокодер, 08:38 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,arzeth, 15:28 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 16:56 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,EHLO, 17:48 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:21 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Tav, 15:35 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Нанобот, 17:18 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Tav, 01:38 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,earfin, 15:57 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 17:00 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Xasd, 17:48 , 04-Фев-15
      • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:23 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Ivan1986, 01:04 , 05-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Ананас, 06:55 , 05-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,flkghdfgklh, 10:14 , 29-Янв-21
• WebRTC позволяет узнать внутренний IP-адрес пользователя,anonymous, 16:05 , 04-Фев-15
• Для хрома, выключить WebRTC:,Аноним, 16:28 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 16:28 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,commiethebeastie, 16:35 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,ryoken, 16:37 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 17:09 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 18:29 , 04-Фев-15
      • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:25 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,axe, 18:03 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 18:28 , 04-Фев-15
      • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:27 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 21:52 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 17:05 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,гость, 17:10 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:28 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Xasd, 17:22 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,soarin, 20:25 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Xasd, 23:35 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,EHLO, 17:51 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 18:26 , 04-Фев-15
  • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:29 , 04-Фев-15
    • WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:56 , 06-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 18:54 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 22:09 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 23:08 , 04-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 00:21 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 06:57 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 10:43 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 12:26 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,none7, 14:55 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Аноним, 15:23 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,humanitycry, 15:37 , 05-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,count0krsk, 17:59 , 06-Фев-15
• WebRTC позволяет узнать внутренний IP-адрес пользователя,Anonplus, 00:32 , 03-Ноя-15

С вебсокетами, наверно, еще все в разы хуже. /* набрасываю */

лажово набрасываешь

А в bowser? https://itunes.apple.com/us/app/bowser/id560478358?mt=8

> А в bowser? https://itunes.apple.com/us/app/bowser/id560478358?mt=8

Ну вот ты возьми и проверь. Или ты думаешь что мы тут будем забесплатно тестировать тебе какой-то крап из яблостора?

Слабаки. Наши разработчики уже давно придумали браузер "интернет".
Для большинства пользователей браузер - непонятное слово.

Я не устану постить эту ссылку: https://en.wikipedia.org/wiki/Ghostery

TL;DR : по сути это троян.

Всмысле Ghostery — троян? Дак его Ghostrank по умолчанию отключен же.

http://forum.mozilla-russia.org/viewtopic.php?pid=566877#p56...

> Лично я не могу(!) представить такую ситуацию, когда обычному пользователю "стало бы интересно посмотреть" - что за компании исподтишка следят за ним на посещаемых им веб-страницах (да и так понятно, что почти ВСЕ следят, и такими скрытыми элементами буквально нашпигована каждая страница), да еще "узнать о них побольше", да еще и самому(!) разрешить "некоторым следить", а "некоторым - не следить".

Но Максим то за нами точно не следит.

> Но Максим то за нами точно не следит.

Зато я слежу.

А я могу. Более того, я - один из таких пользователей. У автора поста ошибка в его исходных посылках. Он полагает, что всё, что в Ghostery называется "следить", делает лишь одно - следит.

Примеры из моего личного опыта. Я сознательно отключил блокирование disqus.com и один из пунктов, блокирующих что-то там гугловское. Потому что первое полностью лишает меня возможности читать и писать комментарии на сайтах, использующих в качестве комментариев сервис disqus, а второе ломает работу одного лисьего расширения для перевода страниц через гуглопереводчик. Я понимаю, что disqus.com, возможно, за чем-то там следит. Но мне нужнее эти комментарии.

Поэтому, если кто-то там чего-то себе не может представить, то это свидетельствует не о ненужности чего-либо, а лишь о том, что этот человек не сталкивался с такой ситуацией.

Если это все аргументы против Ghostery, то они несостоятельны.

Программа Ghostery созданная для свободы имеет несвободную лицензию, этим всё сказано и поставлена жирная точка.

Особенно при существовании свободных альтернатив ничем не уступающих:
Подписок AdBlock Plus (можно выбрать установке).
Lightbeam for Firefox https://addons.mozilla.org/en-US/firefox/addon/lightbeam/ - для просмотра статистики.

> License: Proprietary

Расходимся, пацаны.

До чего докатились знание внутреннего ип - уязвимость.
Почта тоже внутренний адрес выдает в заголовках. Капитаны.

Почта односторонний канал.

> Почта односторонний канал.

А IP - вполне себе двухсторонний. И таки да, обычно мэйлер получающий от вас почту вписывает ваш айпи. И если внутренний айпи это как повезет, то уж внешний там по любому будет. И если вы кому-то не нравитесь - потом туда может прилететь хакерская атака, DDoS или что там еще. Получатель видит все заголовки, если что.

Какая страшная почта. Ну отрежь эти заголовки, раз мешают.

> Какая страшная почта. Ну отрежь эти заголовки, раз мешают.

А не получится отрезать, как минимум внешку. Это ремотный майлер дописывает.

срочно в номер: STUN наконец-то заработал!

> срочно в номер: STUN наконец-то заработал!

Уже давно, ещё с появления ip телефонии.

Указанынй для теста ресурс в фф ничего не определил, а вот в хроме выдал адреса всех интерфейсов.

Может NoScript заблокировал?

Нету и никогда не было

> Указанынй для теста ресурс в фф ничего не определил,

У тебя NoScript наверное. Ты читер.

А у меня наоборот: хромиум не показывает ничего, а фф - только внешний ip.

У меня в хромиуме 40 и Firefox 35.0.1 определило внутренний и внешний адреса.
Причём, даже если сидеть через Tor, то определяет мой настоящий ВНЕШНИЙ адрес!

Однако если запустить Firefox через программу torsocks (sudo pacman -S torsocks), то есть torsocks firefox, то ни внутренний, ни внешний адреса вообще не определяет (ничего не пишет).

А через ip netns вообще всё хорошо будет? :-)

> Причём, даже если сидеть через Tor, то определяет мой настоящий ВНЕШНИЙ адрес!

А вот это уже интересное свойство. Годный троян граждане запилили.

> Однако если запустить Firefox через программу torsocks

...то он ессно рубанет все попытки юзать UDP и завернет все что TCPшное через tor.

Stun — это костыль, от которого давно пора избавляться, переходя на IPv6, тем более, что давно уже есть Teredo (miredo в *никсах) и всякие там freenet6, sixxs и HE, так что своего провайдера ждать не обязательно.

переходи-переходи. главное, не забудь сразу отключить этот презренный ipv4.

> переходи-переходи.

Давно уже.

> не забудь сразу отключить этот презренный ipv4.

Зачем?

192.168.0.3
172.16.226.1
172.16.198.1
И что теперь?

> 192.168.0.3
> 172.16.226.1
> 172.16.198.1
> И что теперь?

Теперь ты лучше идентифицируешься плюс можно поперебирать возможные IP маршрутизатора для CSRF-атаки. О чём и написано в теме обсуждения.

> поперебирать возможные IP маршрутизатора для CSRF-атаки.

глупенький. если ты *УЖЕ* делаешь CSRF-атаку , то значит ты *УЖЕ* имеешь предположение об внутреннем ip-адресе атакуемого маршрутизатора.

(каждая модель имеет соотстветвующие настройки поумолчанию..)

> (каждая модель имеет соотстветвующие настройки поумолчанию..)

Жизня учит даже лошпедов постепенно подтягивать безопасность. Нынче как. Стоит в чистом поле default какой-нибудь. Но уже не open, а с шифрованием. Птому что без шифрования оказывается весь район халявным интернетом пользуется и интернет у баклана отчаянно тормозит :)

ну теперь они знают твой IP

А внешний-то где? Его они тоже знают.

И сильно тебе поможет мой внешний адрес, если мой домашний роутер сам за провайдерским натом? :-D

Старый баян. Смысл такое подтверждать?

https://chrome.google.com/webstore/detail/webrtc-block/nphkk...

Хром не позволяет выключить webrtc, палятся реальные IP даже при VPN/tor. Это пздц, товарищи!

>VPN

Оно что роуты обманывает?

> Хром не позволяет выключить webrtc, палятся реальные IP даже при VPN/tor. Это
> пздц, товарищи!

Хром известная птица-дятел, зачем вы его руками трогаете..?
(Сабжную фигню отключил).

> Хром не позволяет выключить webrtc, палятся реальные IP даже при VPN/tor.

А откуда оно эти реальные айпи берет?

из WebRTC

> из WebRTC

Напоминает анекдот про блондинку рассказывающую принцип работы автомобиля. Если у вас VPN - то весь траффик по идее в него должен бы улетать и это и будет айпи внешки. Какой-то иной айпи - а где его брать? Самый край можно наверное посмотреть на интерфейсы, но там могут быть и локалочные айпи. Если например впн роутер поднимает.

> палятся реальные IP даже при VPN/tor. Это пздц, товарищи!

Это не пздц, это backdoor! Ни за что не поверю, что не подумали о возможности иных подключений браузера кроме как http и https. Уж тем более о STUN, созданным как раз для того, что бы спалить реальный внешний ип

два чая этому господину

> два чая этому господину

Ну так torify /your/browser - избавляет от западла :). Правда что интересно, хромиум при этом работать отказывается, в отличие от лисы. Зонд сопротивляется.

дополнение к новости подтверждает мысль о бекдоре

Вот это новости.
sharedrop.io

определил только внешний ип, носкрипт не установлен, только фф и адблок

> определил только внешний ип,

Всего ничего. А внутрений у тебя был вообще? У меня только внутренний детектирует. Если скрипт вообще разрешить.

> Дополнение: Метод оказался не нов, на
> возможность определения внутреннего IP через
> WebRTC обращали внимание ещё два года назад и
> данная технология уже используется в реальных
> сервисах.

дополнение 2: знание внутреннего ip-ареса абсюлтно бесполезно.

> определения адреса внутреннего интерфейса шлюза для проведение дальнейшей CSRF-атаки на
> web-интерфейс беспроводного маршрутизатора через браузер пользователя

к гадалке не ходи -- это 192.168.0.1 или 192.168.1.1 ..

> ifconfig en0 | grep 'inet'

    inet6 fe80::8638:35ff:fe4b:2da6%en0 prefixlen 64 scopeid 0x4
    inet 10.0.1.11 netmask 0xffffff00 broadcast 10.0.1.255

> inet6 fe80::8638:35ff:fe4b:2da6%en0 prefixlen 64 scopeid 0x4
> inet 10.0.1.11 netmask 0xffffff00 broadcast 10.0.1.255

и какая же CSRF-атака на твой роутер является известной?

...ни какая?

...ну тогда на кой мне нужно иметь знание твоего нестандартного ip-адреса нестандартного роутера?

адреса -- 192.168.0.1 (или 192.168.1.1) будут иметь именно те роутеры, которые будут имеют известные дыры-безопасности (CSRF). а от твоих роутеров злоумышленнику толку нет.

Опять абсолютно ненужная функциональность оказалась трояном.
Практически везде используются симметричные NAT, если используются.
В смысле STUN не нужен.

Поставьте webrtc block в хроме и не мучайтесь.

> Поставьте webrtc block в хроме и не мучайтесь.

"Если вас пырнули ножом - вы можете заклеить дырку лейкопластырем!"

Хром обновился и уже не помогает(( Зонд имеет нас.

Сенсация слегка протухшая, zhovner почти год назад публиковал
http://habrahabr.ru/post/215071/

единственное новшество - теперь эту фичебагу раскрутили и до определения реального адреса юзера, сидящего за VPN/прокси

Так это ж дикий баян... Но лучше пусть будет еще раз

Your local IP addresses:

169.254.82.244
169.254.78.220

Ну-ну, позволяет он.

Слоу новости такие слоу. Ещё несколько лет назад обсудили, когда оно только появилось в браузерах.

Из новости торчат уши Майкрософта с его Скайпом, они менее всех заинтересованы в распространении WebRTC.

Firefox -> about:config -> media.peerconnection.enabled = false

Этот баг до сих пор не пофиксили, хотя бы спрашивая у пользователя, какие ip он готов опубликовать?

Только вот зачем вообще в реализации STUN в браузерах осуществляется выдача внутренних IP-адресов? Ведь для соединений точка-точка нужен только внешний адрес и порт. Именно их и выдаёт STUN-сервер, а остальные адреса браузер собирает самостоятельно через системные функции.

про это писали год или полтора назад, с тех пор у всех вменяемых людей webrtc отключен в фф на корню.

Много денег могут дать за закрытие уязвимости, но еще больше за неразглашение уязвимости.

Проверил. Icecat + ublock - адреса не показало.
Opera 12 + Tor - не показало.
Chrome - показало оба верно. Всё-таки приятно, что пользуюсь правильными браузерами для серфинга, а неправильным - только для видео, где html5 не работает. И гуглокарт.

В Firefox 42 эту уязвимость можно закрыть с помощью media.peerconnection.ice.relay_only = true

Проверил путём захода на тестовую страницу через Tor:
false (по умолчанию) - показало мой реальный IP
true = показало IP узла Tor