VPN黑名单出炉,这些VPN会泄露用户真实IP地址

泄露用户IP地址的VPN黑名单

国外安全项目Voidsec(Github)近日对市场上常见的上百个VPN(受测VPN服务商名单)检测发现,为数众多的VPN依然存在WebRTC漏洞(这个漏洞已经曝光三年了!),会暴露用户的真实IP地址。

关于WebRTC:

WebRTC是网页实时通信(Web Real-Time Communication)的缩写,是一个支持网页浏览器进行实时语音对话或视频对话的技术,谷歌2010年以6820万美元收购Global IP Solutions公司获得了WebRTC技术,次年2011年5月开放了项目源代码,在行业内得到了广泛的支持和应用,成为下一代网页视频通话的标准。

漏洞原理

WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等协议栈对VoIP网络中的防火墙或者NAT进行穿透。用户发送请求至服务器,STUN服务器会返回用户所用系统的IP地址和局域网地址。

返回的请求可以通过JavaScript获取,但由于这个过程是在正常的XML/HTTP请求过程之外进行的,所以在开发者控制台看不到。这意味着,这个漏洞的唯一要求就是浏览器要支持WebRTC和JavaScript。

会泄露用户真实IP地址的VPN服务商名单(截至2018年4月2日)

  • BlackVPN
  • ChillGlobal (Chrome and Firefox Plugin)
  • CyrenVPN
  • Glype (Depends on the configuration)
  • hide-me.org
  • HideMyAss
  • Hola!VPN
  • Hola!VPN Chrome Extension
  • HTTP PROXY in browser that support Web RTC
  • IBVPN Browser Addon
  • PHP Proxy
  • phx.piratebayproxy.co
  • PrivateTunnel
  • psiphon3 (not leaking if using L2TP/IP)
  • SmartHideProxy
  • SOCKS Proxy on browsers with Web RTC enabled
  • SumRando Web Proxy
  • TOR as PROXY on browsers with Web RTC enabled
  • Windscribe Addons (Browser Extension/Plugin)

实现匿名浏览的安全注意事项:

  • 关闭WebRTC
  • 关闭浏览器的JavaScript(或者至少部分功能,建议使用NoScript
  • 关闭Canvas Rendering
  • VPN连接前后,都要关闭所有浏览器实例(页面)
  • 清空浏览器缓存、历史和Cookie
  • 关闭除了VPN服务商以外的所有出站连接

第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom

   
除非注明,本站文章均为原创或编译,转载请务必注明出处并保留原文链接: 文章来自IT经理网
相关文章:

    分享
    0
    内容
    0
    0
    0
    0
    0
    0

关于作者

写评论

忘记密码

加载中...
X