在广告网络中发现 WebRTC 泄漏漏洞

没过多久。 才几个月回来 TorGuard 意识到一个新的安全漏洞,该漏洞允许网站通过 WebRTC 发出秘密 STUN 请求来查找用户的真实 IP。 现在看来,我们有了第一个实际在野外使用的案例,具有讽刺意味的是,以“用户隐私”的名义。

过去几周,人们在访问网站 arstechnica.com、washingtonpost.com、nbcnews.com、ft.com、cnbc.com、Bloomberg.com、wired.com 和其他类似的美国网站时开始注意到一些不寻常的事情。 似乎所有这些网站都从一个 URL 共享相同的跟踪 javascript:s.tagsrvcs.com。 此外,此 URL 似乎每隔几秒钟就会记录一些内容。

更远 javascript的分析 使用 Chrome的 devtools 显示创建了一个 RTCPeerConnection 并主动向服务器发出 STUN 请求:ph.tagsrvcs.com。 虽然很难跟踪所有 JS 代码的行为,但研究人员能够确定该代码确实试图反复收集用户的 IP 地址。

我们大多数人都很清楚,网站和在线营销机构采用各种用户跟踪方法进行分析和市场研究。 许多人选择使用 EFF 的 PrivacyBadger 等应用程序来阻止这些 URL,但是这些工具对侵入性 WebRTC STUN 请求毫无用处。 完全阻止这些请求的唯一方法是使用 TorGuard的 WebRTC 泄漏阻止功能通过 VPN,或完全放弃 javascript。

让我们打破一些东西,嗯?

在这个问题开始引起越来越多的关注后不久, 丹·卡明斯基,安全研究员和 WhiteOps 的联合创始人,提供了一个解释:

“丹·卡明斯基在这里,我为引起骚动而道歉。 这是我在 White Ops 构建的机器人检测框架的一部分; 我们基本上能够使用 JavaScript 中公开的资源检测浏览器自动化。 对用户没有任何危险——或者我们会在上面提交错误,我们会不时这样做——但它确实提供了关于利用后行为的有用数据。 很高兴与任何关心或担心的人接听电话; 我在 [email protected]。”

github,Dan 解释说,该代码实际上是他正在为帮助打击机器人使用的广告网络开展的一个项目的一部分:

“这是我在 White Ops (whiteops.com) 开发了一段时间的反机器人技术的一部分。 这里有隐私的另一面。 事实证明,大约 2/3 的 bot 欺诈来自家庭用户,他们被入侵以实施更多的广告欺诈。 我们基本上是在攻击让人们被黑的资金渠道。 但这确实要求我们能够检测到黑客行为,因此我们部署了这些测试。”

在为这些行为辩护后仅几天,Dan 就禁用了所有 STUN 请求。 用户已确认 WebRTC 代码在这些网站上不再有效,并已被替代脚本替换。

不要妥协用户隐私

虽然意图可能是可敬的,但否定用户隐私的过度行为几乎总是伴随着继承风险。 在这种情况下,我们必须问自己,是否值得以欺诈的名义破坏互联网隐私? 我们认为不是。

有了大数据,责任就大了。 任何经常以分析的名义侵犯用户隐私的广告网络都会及时成为监控操作的大目标。 如果您不能完全信任负责跟踪所有数据的人员,那么善意可能会很快变成恶意。

永远不要将您的个人隐私委托给某些随机网站或广告网络,您可能无法访问这些网站或广告网络的服务条款。 TorGuard 匿名 VPN 提供易于使用的隐私解决方案,阻止广告商知道您的个人 IP 地址或真实位置。 使用具有 WebRTC 泄漏阻止和 IPv6 泄漏预防措施的简单 VPN 应用程序,您可以确保您的个人 IP 地址不属于任何人,而是属于您自己的。