23% VPN–провайдеров пропускают IP-адреса пользователей через технологию WebRTC, которая существует с 2015 года. Для того, чтобы обезопасить свои конфиденциальные данные, пользователи должны отключить WebRTC, JavaScript.
Несмотря на их предполагаемое использование для защиты анонимности пользователей при просмотре Интернета, 23% провайдеров VPN могут фактически пропускать IP-адреса пользователей.
Проблема связана с ошибкой в WebRTC. Особая уязвимость, обнаруженная еще в 2015 году, связана с серверами WebRTC STUN, которые могут записывать публичные и частные IP-адреса в JavaScript.
Хуже всего то, что записанные IP-адреса могут быть раскрыты, если на определенном веб-сайте уже установлено соединение WebRTC. В соответствии с отчетом из 83 проверенных приложений VPN было обнаружено, что в 17 приложениях были утечки информации о IP-адресах.
Данный функционал также может использоваться для отслеживания пользователей общих служб защиты конфиденциальности, таких как: VPN, SOCKS Proxy, HTTP Proxy и в прошлом (пользователи TOR).
Из протестированных VPN-провайдеров, вот список тех, которые пропускают IP-адреса:
BolehVPN
ChillGlobal (плагин Chrome и Firefox)
Glype (зависит от конфигурации)
hide-me.org
Hola! VPN
Hola! Расширение VPN Chrome
Навигация HTTP PROXY в браузере, поддерживающий веб-RTC
IBVPN Browser Addon
PHP-прокси
phx.piratebayproxy.co
psiphon3 (не утечка при использовании L2TP / IP)
Прокси SOCKS в браузерах с включенным веб-RTC
Веб-прокси SumRando
TOR как PROXY в браузерах с включенным веб-RTC
Приложения для Windscribe
Brave, Mozilla Firefox, Google Chrome, Google Chrome на Android, обозреватель Samsung, Opera и Vivaldi также имеют встроенный WebRTC, что ставит под угрозу их анонимность.
Чтобы оставаться анонимным во время серфинга в Интернете, Stagno рекомендует пользователям отключать WebRTC, JavaScript и Canvas Rendering. Он также рекомендует установить резервную копию DNS для каждого подключения и адаптера и убить экземпляры браузера до и после каждого подключения VON.
