Deanonymisierung via WebRTC: IP-Adressen trotz VPN abrufbar

Ein VPN schützt nicht gegen alles. Diverse Anbieter speichern auch die IP des Zugreifenden, sodass bei Behördenanfragen unter Umständen doch eure echte IP ans Licht kommt. Momentan sorgt allerdings ein ernsthafter Bug dafür, dass Webseitenbetreiber mit speziell präparierter Webseite eure IPs auslesen können – nicht nur die, die ihr über euren VPN-Betreiber zugewiesen bekommen habt, sondern auch die normale, von eurem Provider.

fu

Mit wenigen Zeilen Code kann die Webseite Anfragen an einen STUN-Server senden und kommt trotz VPN an interne, externe und VPN-IP. Die Lücke betrifft Browser die direkt WebRTC unterstützen, wie beispielsweise Chrome oder Firefox.

Bei Torrentfreak ist zu lesen dass die Lücke nur auf Windows-Maschinen anzutreffen ist, Chrome auf dem Mac zog aber auch trotz VPN bei mir richtig blank. Abhilfe schafft erst einmal die Erweiterung WebRTC Block, Firefox-Nutzer können via about:config den Wert media.peerconnection.enabled auf false setzen.

Der Betreiber TorGuard warnt ebenfalls schon in seinem Blog. Ihr wollt euch selber testen? Dann schmeisst euer VPN an und besucht diese Seite. (danke Stephan!)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

36 Kommentare

  1. Tom Franzen says:

    Dürfte bei Vodafone-Kunden schwierig werden, weil Vodafone laut eigenen Angaben bei Flatrate-Kunden rein gar nichts speichert. Zur Abrechnung ist es schließlich nicht nötig.

  2. @Caschy
    Bist du sicher, dass die 10.xx.xx.xx deine von deinem Provider zugewiesene IP ist?
    Bei mir zeigt er bei VPN-Verbindung auch die 192.xx und die 10.xx an sowie als Public die des VPN-Servers. Sobald ich den VPN ausschalte erscheint eine 219.xx als Public-IP.

  3. @Local ist einmal intern, die 95 meine KD, trotz VPN

  4. Tor Browser: Weder lokale, noch public IP wird angezeigt
    Me stealthy 😉
    Gut, in der config ist ja schon standardmäßig media.peerconnection.enabled auf false gesetzt.

  5. Dann scheint meine IP trotz Chrome auf dem Mac nicht angezeigt zu werden.

  6. Obwohl bei mir media.peerconnection.enabled auf true steht, witd bei der obigen Seite nur die VPN IP angezeigt, nicht die meines ISP.

  7. Achso: Windoof 8.1 und aktuellster Firefox 😉

  8. Komisch, funktioniert bei mir nicht! Meine Interne IP bekomme ich angezeigt – meine public IP ist nur die rumänische von meinem VPN-Anbieter…

    Windows 8.1
    Chrome 40
    Cyberghost VPN

    Bild: http://abload.de/img/vpn2deixc.jpg

    Jemand ne Erklärung dafür? Hab auch kein WebRTC-Blocker drin…

  9. Habe es gerade auch mit Cyberghost versucht, selbes Ergebnis wie bei Mirco.
    Bekomme nur die VPN-IP angezeigt, mit Firefox und Chrome

  10. Cyberghost VPN Premium – NoSpyProxy, alles ok

  11. Meine echte IP wird mit Cyberghost auch nicht angezeigt.

  12. Chrome für Mac mit TunnelBear zeigt nur VPN IP an.

  13. Die Frage ist ob es langfristig sinniger ist so eine Erweiterung zum blocken zu installieren. Theoretisch hat diese Erweiterung Zugriff auf alle Browserdaten und kann selbst zur Gefahr werden. Da ist so eine Option wie beim Firefox schon besser. Chrome hat da echt ne kleine Lücke.

  14. Local IP, also eine davon passt. Pub IP nicht, bzw ist die vom VPN – so wie es sein soll 😉

  15. Bei mir kein Leak

    Browser: Firefox 35.0.1
    System: Windows 7 / 64bit
    VPN Anbieter: Perfect Privacy

  16. Bei mir zeigt er tatsächlich die echte IP an. Faszinierend.
    Windows 8.1 64bit, Chrome Stable

  17. phantomaniac says:

    Mit PP wie bei Knorker keine Probleme….

  18. Browser: Firefox 35.0.1
    System: Windows 8.1 / 64bit
    VPN Anbieter: Perfect Privacy

    VPN deaktiviert + media.peerconnection.enabled = true
    –> tatsächliche IP

    VPN + media.peerconnection.enabled = true
    –> VPN IP + tatsächliche IP

    VPN + media.peerconnection.enabled = false
    –> keine IP

  19. Löchriger Handschuh bei Schneesturm says:

    Da hilft nur ein Wegwerfsmartphone.

  20. Guter Beitrag, aber das Problem ist schon eine Weile bekannt. Auch muss bei Firefox ab Version 34.0 noch
    loop.enabled = false
    gesetzt werden. Nur zur Info

  21. Kann mir jemand sagen ob das Problem auch auftritt wenn ich ein Tool wie JDownloader nutze während ich einen VPN nutze? Könnte der Filesharing-Anbieter in dem Fall meine echte IP herausfinden? Gibt es da ebenfalls eine Einstellung die man machen muss?

  22. @Fabian: wikipedia hilft hier ungemein: http://de.wikipedia.org/wiki/WebRTC
    Dann sollte klar sein, was WEBRTC überhaupt ist. Kurz und gut nein. Und vor 15 Jahren war Filesharing interessant, heute ist es nur ein Sicherheitsrisko, egal ob VPN oder nicht. Denn wer sagt dir das Dein VPN Anbieter Deine Daten nicht speichert. Daher sollte klar sein, wer heute noch Filesharing nutzt geht immer ein Risiko ein. Soll heißen wenn Du nicht legale Sachen mit Filesharing machst, gehst Du immer ein Risiko ein

  23. @Mirco Seltsam, bei mir werden unter Windows 8.1 mit neuestem Chrome meine VPN-IP und meine Public-IP der Telekom angezeigt. Und leider NICHT die rumänische IP meines VPN-Anbieters.

  24. ^^ ich seh erst gerade: cyberghost. ich hab ibvpn.

  25. Solange das VPN schon im Router hergestellt wird sollte auch der Bug kein Problem sein.

  26. Kann ich nicht reproduzieren. Funktioniert in keinem meiner Browser (FF / Chrome), obwohl diese Standardeinstellungen nutzen.

  27. Ebenfalls kein Leak mit FF 35.0.1 und Win 7 / 64bit.

    Bin bei Perfect Privacy und verbinde mich dort über den hauseigenen Client mit den Standarteinstellungen. Leak tritt weder bei aktivierter Client-Firewall (Blockiert allen Netzwerkverkehr, der nicht über VPN geleitet wird) noch bei deaktivierter Option auf.

    Komische Sache. Ich hoffe, es gibt dazu bald mehr Infos und einen Fix von FF.

  28. Besucherpete says:

    Mal ehrlich, es ist doch klar, dass es immer Mittel und Wege gibt, sowas zu ermitteln. Es gibt im Internet nun mal keine völlige Anonymität, kann es auch gar nicht, sonst würde das technisch nicht funktionieren. Es ist immer nur eine Frage des Aufwandes, den man bereit ist, betreiben.

  29. Marius (skobbler Betatester) says:

    Auch hier bei mir unter Win 8.1 x64 mit CyberGhost kein Auslesen möglich. Habe nix spezielles geblockt oder so, alles sauber. Bestätigt mich, weiterhin bei CyberGhost zu bleiben.

  30. Das sagt Perfect Privacy zum Thema

    Hinweise zur IP-Leak-Schwachstelle via WebRTC

    2015-01-31

    Diese Woche hat Daniel Roesler Informationen zu einem Problem in Windows veröffentlicht, dass potentiell die vom Provider zugewiesene IP-Adresse herausgibt, obwohl eine VPN-Verbindung besteht. Möglich ist dies durch die WebRTC-Implementation in Mozilla Firefox und Google Chrome, die es erlaubt, eigene Pakete an der lokalen Routing-Tabelle vorbei zu senden. Roesler stellt auf seiner Seite auf GitHub eine Demonstration zur Verfügung.

    Nach Untersuchung dieses Problems können wir folgendes sagen:

    Zuallererst ist zu beachten, dass die Lücke nur ausgenutzt werden kann, wenn der Browser mit Administrator-Rechten läuft. Es versteht sich von selbst, dass Nutzer, die Ihre Anonymität mit einem VPN schützen, nicht als Administrator im Internet surfen sollten – das ist prinizipiell eine schlechte Idee.

    Zweitens, Perfect-Privacy-Nutzer können sich vor diesem IP-Leak schützen, indem Sie den Firewall-Schutz im Perfect Privacy VPN Manager aktivieren. Jede der Schutzeinstellungen verhindert dass Browser (oder andere Programme) Pakete senden, ohne die lokale Routing-Tabelle einzuhalten.

    Außerdem gibt es verschiedene andere Möglichkeiten, sich vor diesem Informations-Leak zu schützen. Chrome-Nutzer können die Extension WebRTC block installieren, um alle WebRTC-Funktionen zu blockieren. In Firefox, kann man in der Konfiguration (“about:config” in die Adressleiste eingeben) den Wert für media.peerconnection.enabled auf “false” setzen.

    Wir empfehlen daher allen Windows-Nutzern, grundsätzlich nicht mit Administrator-Rechten zu browsen und bei Verwendung des Perfect Privacy VPN Managers den Firewall-Schutz für zusätzliche Sicherheit zu aktivieren.

    Mit freundlichen Grüssen,

    Euer Perfect Privacy Team

    https://www.perfect-privacy.com/german/2015/01/31/hinweise-zur-ip-leak-schwachstelle-via-webrtc/

  31. Neue Informationen zum WebRTC IP Leak

    Über das Wochenende haben wir uns nochmal eingehend mit der WebRTC-Schwachstelle beschäftigt und können dazu einige neue Informationen liefern.

    Die wichtigste Erkenntnis ist, dass in diesem Fall zwar WebRTC benutzt wurde, um das IP-Leak auszunutzen, aber WebRTC ist nicht die Ursache dafür, dass dies überhaupt möglich ist. Vielmehr handelt es sich um ein Windows-Feature, dass es erlaubt, unter gewissen Bedingungen die Routing-Table zu umgehen. Microsoft schreibt in seinem Techblog wie folgt:

    “If the program specifies a source IP address, that IP address is used as the source IP address for connections sourced from that socket and the adapter associated with that source IP is used as the source interface. The route table is searched but only for routes that can be reached from that source interface.” [1]

    Normalerweise wird beim Aufbau eines VPN-Tunnels eine spezifischere Route zum TUN/TAP-Adapter gesetzt, so dass diese grundsätzlich für allen Netzwerkverkehr bevorzugt wird. Die “Source IP address selection” erlaubt es Windows-Programmen allerdings eine generellere Route zu verwenden, wenn die angegebene Quell-IP an ein entsprechendes Interface gebunden ist.

    Das lässt sich mit folgendem Befehl in der Konsole überprüfen:

    ping -S

    Wenn man als “lokale LAN-IP” die von Router zugewiesene IP-Adresse verwendet, so werden die Ping-Anfragen über das unverschlüsselte Interface gesendet, auch wenn ein VPN-Tunnel besteht. In unseren Tests hat das nicht auf allen Systemen funktioniert (in einigen Fällen scheitern die Anfragen mit “Allgemeiner Fehler) aber wir konnten dies auf einem frisch installierten Windows 7 reproduzieren.

    Folglich können Windows-Applikationen grundsätzlich auf diese Methode zurückgreifen, um Pakete über unverschlüsselte Interfaces zu senden – das Problem ist nicht nur auf WebRTC beschränkt. Die Installation eines Browser-Plugins, dass WebRTC blockiert beseitigt also nicht die zugrundeliegende Ursache.

    Der Perfect Privacy VPN Manager verhindert dieses IP-Leak mit den Standardeinstellungen. Der integrierte Firewall-Schutz ist defaultmäßig aktiviert, sobald ein VPN-Tunnel aufgebaut wird. Das verhindert, dass Pakete über unverschlüsselte Interfaces gesendet werden, auch wenn “Source IP address selection” genutzt wird: Solche Pakete werden grundsätzlich blockiert.

    Fazit: Solange der Firewall-Schutz in der Perfect-Privacy-Software aktiviert ist, besteht keine Möglichkeit, über diese Methode an die öffentliche IP zu gelangen – egal ob über WebRTC oder andere Methoden.
    [1] http://blogs.technet.com/b/networking/archive/2009/04/25/source-ip-address-selection-on-a-multi-homed-windows-computer.aspx

    Mit freundlichen Grüssen,

    Euer Perfect Privacy Team

    https://www.perfect-privacy.com/german/2015/02/03/neue-informationen-zum-webrtc-ip-leak/

  32. Gibt es schon was neues für Chrome?Ich mag eigentlich Firefox nicht so da mir die integrierte Sandbox fehlt.

  33. Sehr dünn (mit und ohne VPN, WLAN oder Mobilfunk). Vielleicht weiß auf weiß?

    This demo secretly makes requests to STUN servers that can log your request. These requests do not show up in developer consoles and cannot be blocked by browser plugins (AdBlock, Ghostery, etc.).

    Your local IP addresses:

    Your public IP addresses:

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.