20% số nhà cung cấp dịch vụ VPN tiết lộ địa chỉ IP của khách hàng qua lỗ hổng WebRTC

Buzz

Đọc tóm tắt

- Khoảng 20% nhà cung cấp VPN tiết lộ địa chỉ IP qua lỗi WebRTC, phát hiện bởi Paolo Stagno từ tháng 1/2015.
- Stagno phát hiện 17 ứng dụng VPN tiết lộ địa chỉ IP của người dùng khi lướt web.
- Stagno kêu gọi cộng đồng kiểm tra ứng dụng VPN và tạo trang web demo để kiểm tra rò rỉ cục bộ.
- WebRTC bắt đầu từ năm 2015, lỗ hổng được phát hiện bởi Daniel Roesler.
- Các máy chủ STUN lưu trữ địa chỉ IP của người dùng, được sử dụng bởi tổ chức quảng cáo và cơ quan thực thi pháp luật.
- Hầu hết các trình duyệt kích hoạt WebRTC mặc định, ngoại trừ Tor Browser, Edge và Internet Explorer.
- Có danh sách các nhà cung cấp VPN tiết lộ địa chỉ IP, và một số dịch vụ VPN lưu trữ nhật ký người dùng.
- TheBestVPN.com khuyến nghị sử dụng dịch vụ VPN miễn phí tốt nhất để giảm thiểu rủi ro rò rỉ dữ liệu.

Khoảng 20% nhà cung cấp VPN tiết lộ địa chỉ IP của khách hàng qua lỗi WebRTC, sự cố được phát hiện vào tháng 1/2015, bao gồm cả một số dịch vụ VPN mà người dùng chưa từng biết đến.

Paolo Stagno, một nhà nghiên cứu bảo mật với tên gọi là VoidSec, đã phát hiện vấn đề này khi kiểm tra 83 ứng dụng VPN.

20% số nhà cung cấp dịch vụ VPN tiết lộ địa chỉ IP của khách hàng qua lỗ hổng WebRTC

Stagno chia sẻ rằng ông đã phát hiện 17 ứng dụng VPN tiết lộ địa chỉ IP của người dùng khi lướt web qua trình duyệt, danh sách kiểm tra không đầy đủ vì ông không có đủ tài nguyên để kiểm tra tất cả các ứng dụng VPN thương mại.

Hiện nay, Stagno đang kêu gọi cộng đồng kiểm tra ứng dụng VPN của họ và gửi kết quả lại cho ông. Stagno cũng tạo ra một trang web demo mà người dùng phải truy cập từ trình duyệt của mình có ứng dụng VPN đã được kích hoạt. Mã nguồn trang web này cũng có sẵn trên GitHub, nếu người dùng muốn kiểm tra rò rỉ cục bộ mà không tiết lộ địa chỉ IP trên máy chủ của người khác.

Tham khảo

- Top VPN tốt nhất cho iPhone
- Top

VPN tốt nhất cho Android

Rò rỉ thông tin qua WebRTC bắt đầu từ năm 2015

Mã nguồn của Stagno được phát triển dựa trên lỗ hổng WebRTC, do nhà nghiên cứu an ninh mạng Daniel Roesler phát hiện vào tháng 1/2015. Sau đó, Roesler phát hiện các máy chủ WebRTC STUN, các kết nối WebRTC trung gian lưu trữ hồ sơ địa chỉ IP công cộng của người dùng, cùng với địa chỉ IP riêng của họ, nếu client là mạng NAT, proxy hoặc VPN.

Vấn đề chính là các máy chủ STUN chỉ tiết lộ thông tin này cho các trang web mà người dùng đã thỏa thuận kết nối WebRTC với trình duyệt của họ. Từ đó, nhiều tổ chức quảng cáo và các cơ quan thực thi pháp luật đã tận dụng lỗi liên quan đến WebRTC để thu thập địa chỉ IP của khách truy cập trang web.

Hầu hết các trình duyệt mặc định kích hoạt tính năng WebRTC

Các nhà phát triển trình duyệt dành thời gian để tích hợp hỗ trợ WebRTC vào mã nguồn của họ, phát hành các tiện ích mở rộng, tính năng ngăn chặn rò rỉ địa chỉ IP.

Tuy nhiên, WebRTC vẫn không bị vô hiệu hóa trên hầu hết các trình duyệt, các tính năng này vẫn được kích hoạt theo mặc định trên các trình duyệt chính, ngoại trừ Tor Browser, Edge và Internet Explorer.

Dưới đây là danh sách các nhà cung cấp VPN có thể tiết lộ địa chỉ IP của người dùng. Đến thời điểm viết, có khoảng 80 dịch vụ VPN thương mại chưa được kiểm tra.

Một số dịch vụ VPN lưu trữ nhật ký người dùng

Nhóm nghiên cứu tại TheBestVPN.com cũng phát hiện vấn đề lo ngại khác, trong số 115 ứng dụng VPN họ kiểm tra, có 26 ứng dụng giữ lại một số file nhật ký của người dùng.

Nghiên cứu không phân tích cài đặt thực tế của ứng dụng VPN, tập trung vào chính sách bảo mật được công bố trực tuyến bởi mỗi dịch vụ.

Để giảm thiểu khả năng rò rỉ dữ liệu, TheBestVPN.com khuyến nghị độc giả nên sử dụng những dịch vụ VPN miễn phí tốt nhất nếu không thể chi trả chi phí sử dụng VPN trả phí.

Nếu bạn thường xem video trực tuyến và sở hữu Chromecast, có tin vui là bạn có thể truyền hình và phát âm thanh trực tiếp lên Chromecast chỉ với một vài bước đơn giản mà không cần ứng dụng bên thứ ba.

Nội dung được phát triển bởi đội ngũ Mytour với mục đích chăm sóc khách hàng và chỉ dành cho khích lệ tinh thần trải nghiệm du lịch, chúng tôi không chịu trách nhiệm và không đưa ra lời khuyên cho mục đích khác.

Nếu bạn thấy bài viết này không phù hợp hoặc sai sót xin vui lòng liên hệ với chúng tôi qua email [email protected]

Các câu hỏi thường gặp

Có bao nhiêu nhà cung cấp VPN bị phát hiện rò rỉ địa chỉ IP qua WebRTC?

Khoảng 20% nhà cung cấp VPN đã bị phát hiện tiết lộ địa chỉ IP của khách hàng qua lỗi WebRTC, theo nghiên cứu của nhà nghiên cứu bảo mật Paolo Stagno. Ông đã kiểm tra 83 ứng dụng VPN và phát hiện 17 ứng dụng gặp vấn đề này.

Rò rỉ thông tin qua WebRTC bắt đầu được phát hiện từ khi nào?

Rò rỉ thông tin qua WebRTC được phát hiện lần đầu vào tháng 1/2015 bởi nhà nghiên cứu an ninh mạng Daniel Roesler. Ông phát hiện rằng các máy chủ WebRTC STUN có thể lưu trữ địa chỉ IP công cộng và riêng của người dùng.

Những trình duyệt nào không kích hoạt tính năng WebRTC mặc định?

Hầu hết các trình duyệt chính đều kích hoạt tính năng WebRTC theo mặc định, ngoại trừ Tor Browser, Microsoft Edge và Internet Explorer. Điều này khiến người dùng dễ bị rò rỉ địa chỉ IP nếu không có biện pháp bảo vệ.

Làm thế nào để kiểm tra ứng dụng VPN có bị rò rỉ địa chỉ IP không?

Người dùng có thể truy cập trang web demo mà nhà nghiên cứu Paolo Stagno tạo ra để kiểm tra ứng dụng VPN của họ. Mã nguồn trang web cũng có sẵn trên GitHub, cho phép kiểm tra mà không tiết lộ địa chỉ IP.