为什么你不应该信任陌生的VPN

作者:Thomas Claburn(原文链接

翻译:刘通

原标题:Why you shouldn't trust a stranger's VPN: Plenty leak your IP addresses

VPN1

虚拟专用网络,Virtual Private Networks,也就是VPN,事实上名不副实,并不是那么的私密,这不仅仅是因为服务提供商可能保留超过他们承认范围的数据。

安全研究员Paolo Stagno,他发现有23%(70个中有16个)的VPN提供商被测试出会通过WebRTC泄露用户的IP地址。

WebRTC暴露出的隐私问题也并不新鲜。至少自2015年以来,这个问题就已经被大家知晓了。

webrtc-logo

WebRTC是一个很受欢迎的免费开源项目,已经在网络浏览器中实现,允许通过JavaScript API进行实时通信。例如,它可以用于实现基于浏览器的聊天应用程序。

该协议通常与ICE框架和STUN服务器,以及一些其他选项一起使用。

VPN使用STUN服务器在VPN用户的本地IP地址和公共IP地址之间进行转换,就像家庭路由器充当本地设备和外部互联网之间的网络中介一样。

根据Stagno所说,WebRTC可以被查询返回本应该保密的信息。

“WebRTC允许向STUN服务器发出请求,STUN服务器返回‘隐藏的’家庭IP地址以及用户正在使用的系统的本地网络地址”,他在周二发表的一篇博文中写到。他解释说,这些请求通常不可见,因为它们不是标准XML / HTTP交互的一部分,但可以通过JavaScript来实现。 Stagno表示,该技术可以用于任何支持WebRTC和JavaScript的浏览器。

在许多浏览器中—Brave,Chrome(电脑版和Android版),Firefox,三星互联网浏览器,Opera,Vivaldi—WebRTC和JavaScript都是默认打开的。

你可以在VoidSec的网站中看到存在泄漏问题的VPN的清单。

Stagno建议禁用WebRTC和其他的一些功能以保护隐私。在Chrome中,需要一个扩展程序,比如uBlock Origin。其他浏览器中的修改方法会有所不同。

除了WebRTC问题之外,安全行业的人员往往对商业VPN提供商不满,因为他们并不总是为客户的利益行事。 有些会记录您的活动,有些会追踪你的上网行踪以你最喜欢的方式推送广告,有些则显然不安全。 你应该特别地去避免使用免费的VPN。

填写常用邮箱,接收社区更新

WebRTC 中文社区由

运营