Deanonymisierung via WebRTC: IP-Adressen trotz VPN abrufbar
von caschy | 36 Kommentare
Ein VPN schützt nicht gegen alles. Diverse Anbieter speichern auch die IP des Zugreifenden, sodass bei Behördenanfragen unter Umständen doch eure echte IP ans Licht kommt. Momentan sorgt allerdings ein ernsthafter Bug dafür, dass Webseitenbetreiber mit speziell präparierter Webseite eure IPs auslesen können – nicht nur die, die ihr über euren VPN-Betreiber zugewiesen bekommen habt, sondern auch die normale, von eurem Provider.
Mit wenigen Zeilen Code kann die Webseite Anfragen an einen STUN-Server senden und kommt trotz VPN an interne, externe und VPN-IP. Die Lücke betrifft Browser die direkt WebRTC unterstützen, wie beispielsweise Chrome oder Firefox.
Bei Torrentfreak ist zu lesen dass die Lücke nur auf Windows-Maschinen anzutreffen ist, Chrome auf dem Mac zog aber auch trotz VPN bei mir richtig blank. Abhilfe schafft erst einmal die Erweiterung WebRTC Block, Firefox-Nutzer können via about:config den Wert media.peerconnection.enabled auf false setzen.
Der Betreiber TorGuard warnt ebenfalls schon in seinem Blog. Ihr wollt euch selber testen? Dann schmeisst euer VPN an und besucht diese Seite. (danke Stephan!)
Wird geladen ...
Guter Beitrag, aber das Problem ist schon eine Weile bekannt. Auch muss bei Firefox ab Version 34.0 noch
loop.enabled = false
gesetzt werden. Nur zur Info
Kann mir jemand sagen ob das Problem auch auftritt wenn ich ein Tool wie JDownloader nutze während ich einen VPN nutze? Könnte der Filesharing-Anbieter in dem Fall meine echte IP herausfinden? Gibt es da ebenfalls eine Einstellung die man machen muss?
@Fabian: wikipedia hilft hier ungemein: http://de.wikipedia.org/wiki/WebRTC
Dann sollte klar sein, was WEBRTC überhaupt ist. Kurz und gut nein. Und vor 15 Jahren war Filesharing interessant, heute ist es nur ein Sicherheitsrisko, egal ob VPN oder nicht. Denn wer sagt dir das Dein VPN Anbieter Deine Daten nicht speichert. Daher sollte klar sein, wer heute noch Filesharing nutzt geht immer ein Risiko ein. Soll heißen wenn Du nicht legale Sachen mit Filesharing machst, gehst Du immer ein Risiko ein
@Mirco Seltsam, bei mir werden unter Windows 8.1 mit neuestem Chrome meine VPN-IP und meine Public-IP der Telekom angezeigt. Und leider NICHT die rumänische IP meines VPN-Anbieters.
^^ ich seh erst gerade: cyberghost. ich hab ibvpn.
Solange das VPN schon im Router hergestellt wird sollte auch der Bug kein Problem sein.
Kann ich nicht reproduzieren. Funktioniert in keinem meiner Browser (FF / Chrome), obwohl diese Standardeinstellungen nutzen.
Ebenfalls kein Leak mit FF 35.0.1 und Win 7 / 64bit.
Bin bei Perfect Privacy und verbinde mich dort über den hauseigenen Client mit den Standarteinstellungen. Leak tritt weder bei aktivierter Client-Firewall (Blockiert allen Netzwerkverkehr, der nicht über VPN geleitet wird) noch bei deaktivierter Option auf.
Komische Sache. Ich hoffe, es gibt dazu bald mehr Infos und einen Fix von FF.
Mal ehrlich, es ist doch klar, dass es immer Mittel und Wege gibt, sowas zu ermitteln. Es gibt im Internet nun mal keine völlige Anonymität, kann es auch gar nicht, sonst würde das technisch nicht funktionieren. Es ist immer nur eine Frage des Aufwandes, den man bereit ist, betreiben.
Auch hier bei mir unter Win 8.1 x64 mit CyberGhost kein Auslesen möglich. Habe nix spezielles geblockt oder so, alles sauber. Bestätigt mich, weiterhin bei CyberGhost zu bleiben.
Das sagt Perfect Privacy zum Thema
—
Hinweise zur IP-Leak-Schwachstelle via WebRTC
2015-01-31
Diese Woche hat Daniel Roesler Informationen zu einem Problem in Windows veröffentlicht, dass potentiell die vom Provider zugewiesene IP-Adresse herausgibt, obwohl eine VPN-Verbindung besteht. Möglich ist dies durch die WebRTC-Implementation in Mozilla Firefox und Google Chrome, die es erlaubt, eigene Pakete an der lokalen Routing-Tabelle vorbei zu senden. Roesler stellt auf seiner Seite auf GitHub eine Demonstration zur Verfügung.
Nach Untersuchung dieses Problems können wir folgendes sagen:
Zuallererst ist zu beachten, dass die Lücke nur ausgenutzt werden kann, wenn der Browser mit Administrator-Rechten läuft. Es versteht sich von selbst, dass Nutzer, die Ihre Anonymität mit einem VPN schützen, nicht als Administrator im Internet surfen sollten – das ist prinizipiell eine schlechte Idee.
Zweitens, Perfect-Privacy-Nutzer können sich vor diesem IP-Leak schützen, indem Sie den Firewall-Schutz im Perfect Privacy VPN Manager aktivieren. Jede der Schutzeinstellungen verhindert dass Browser (oder andere Programme) Pakete senden, ohne die lokale Routing-Tabelle einzuhalten.
Außerdem gibt es verschiedene andere Möglichkeiten, sich vor diesem Informations-Leak zu schützen. Chrome-Nutzer können die Extension WebRTC block installieren, um alle WebRTC-Funktionen zu blockieren. In Firefox, kann man in der Konfiguration (“about:config” in die Adressleiste eingeben) den Wert für media.peerconnection.enabled auf “false” setzen.
Wir empfehlen daher allen Windows-Nutzern, grundsätzlich nicht mit Administrator-Rechten zu browsen und bei Verwendung des Perfect Privacy VPN Managers den Firewall-Schutz für zusätzliche Sicherheit zu aktivieren.
Mit freundlichen Grüssen,
Euer Perfect Privacy Team
https://www.perfect-privacy.com/german/2015/01/31/hinweise-zur-ip-leak-schwachstelle-via-webrtc/
Neue Informationen zum WebRTC IP Leak
Über das Wochenende haben wir uns nochmal eingehend mit der WebRTC-Schwachstelle beschäftigt und können dazu einige neue Informationen liefern.
Die wichtigste Erkenntnis ist, dass in diesem Fall zwar WebRTC benutzt wurde, um das IP-Leak auszunutzen, aber WebRTC ist nicht die Ursache dafür, dass dies überhaupt möglich ist. Vielmehr handelt es sich um ein Windows-Feature, dass es erlaubt, unter gewissen Bedingungen die Routing-Table zu umgehen. Microsoft schreibt in seinem Techblog wie folgt:
“If the program specifies a source IP address, that IP address is used as the source IP address for connections sourced from that socket and the adapter associated with that source IP is used as the source interface. The route table is searched but only for routes that can be reached from that source interface.” [1]
Normalerweise wird beim Aufbau eines VPN-Tunnels eine spezifischere Route zum TUN/TAP-Adapter gesetzt, so dass diese grundsätzlich für allen Netzwerkverkehr bevorzugt wird. Die “Source IP address selection” erlaubt es Windows-Programmen allerdings eine generellere Route zu verwenden, wenn die angegebene Quell-IP an ein entsprechendes Interface gebunden ist.
Das lässt sich mit folgendem Befehl in der Konsole überprüfen:
ping -S
Wenn man als “lokale LAN-IP” die von Router zugewiesene IP-Adresse verwendet, so werden die Ping-Anfragen über das unverschlüsselte Interface gesendet, auch wenn ein VPN-Tunnel besteht. In unseren Tests hat das nicht auf allen Systemen funktioniert (in einigen Fällen scheitern die Anfragen mit “Allgemeiner Fehler) aber wir konnten dies auf einem frisch installierten Windows 7 reproduzieren.
Folglich können Windows-Applikationen grundsätzlich auf diese Methode zurückgreifen, um Pakete über unverschlüsselte Interfaces zu senden – das Problem ist nicht nur auf WebRTC beschränkt. Die Installation eines Browser-Plugins, dass WebRTC blockiert beseitigt also nicht die zugrundeliegende Ursache.
Der Perfect Privacy VPN Manager verhindert dieses IP-Leak mit den Standardeinstellungen. Der integrierte Firewall-Schutz ist defaultmäßig aktiviert, sobald ein VPN-Tunnel aufgebaut wird. Das verhindert, dass Pakete über unverschlüsselte Interfaces gesendet werden, auch wenn “Source IP address selection” genutzt wird: Solche Pakete werden grundsätzlich blockiert.
Fazit: Solange der Firewall-Schutz in der Perfect-Privacy-Software aktiviert ist, besteht keine Möglichkeit, über diese Methode an die öffentliche IP zu gelangen – egal ob über WebRTC oder andere Methoden.
[1] http://blogs.technet.com/b/networking/archive/2009/04/25/source-ip-address-selection-on-a-multi-homed-windows-computer.aspx
Mit freundlichen Grüssen,
Euer Perfect Privacy Team
https://www.perfect-privacy.com/german/2015/02/03/neue-informationen-zum-webrtc-ip-leak/
Die chrome-Erweiterung funktioniert nicht (mehr), siehe hier: http://www.reddit.com/r/VPN/comments/2uxnmh/webrtc_block_extension_for_chrome_now_ineffective/
Gibt es schon was neues für Chrome?Ich mag eigentlich Firefox nicht so da mir die integrierte Sandbox fehlt.
Sehr dünn (mit und ohne VPN, WLAN oder Mobilfunk). Vielleicht weiß auf weiß?
This demo secretly makes requests to STUN servers that can log your request. These requests do not show up in developer consoles and cannot be blocked by browser plugins (AdBlock, Ghostery, etc.).
Your local IP addresses:
Your public IP addresses: