20% nhà cung cấp VPN làm rò rỉ địa chỉ IP của khách hàng thông qua lỗi WebRTC

Paolo Stagno, nhà nghiên cứu bảo mật có bút danh là VoidSec, là người đã phát hiện ra vấn đề sau khi kiểm tra 83 ứng dụng VPN.

20% nhà cung cấp VPN làm rò rỉ địa chỉ IP của khách hàng thông qua lỗi WebRTC

Stagno cho biết ông đã phát hiện ra 17 client VPN làm rò rỉ địa chỉ IP người dùng khi họ lướt web thông qua trình duyệt, danh sách kiểm toán không đầy đủ vì Stagno không có đủ tài nguyên để kiểm tra tất cả các client VPN thương mại.

Hiện tại Stagno đang kêu gọi cộng đồng kiểm tra client VPN của họ và gửi kết quả lại cho ông. Stagno cũng thiết lập một trang web demo mà người dùng phải truy cập từ trình duyệt của họ có client VPN đã được kích hoạt. Mã chạy trên trang này cũng có sẵn trên GitHub, nếu người dùng muốn kiểm tra rò rỉ cục bộ mà không muốn tiết lộ địa chỉ IP của mình trên máy chủ của người khác.

Bạn tham khảo

- Top VPN tốt nhất cho điện thoại iPhone
- Top VPN tốt nhất cho điện thoại Android

Rò rỉ WebRTC xảy ra vào năm 2015

Mã của Stagno được phát triển dựa trên lỗi WebRTC, được nhà nghiên cứu bảo mật Daniel Roesler phát hiện vào hồi tháng 1/2015. Sau đó Roesler phát hiện các máy chủ WebRTC STUN, các kết nối WebRTC trung gian lưu trữ hồ sơ địa chỉ IP công cộng của người dùng, cùng với địa chỉ IP riêng của họ, nếu client là mạng NAT, proxy hoặc VPN.

Vấn đề là các máy chỉ STUN tiết lộ thông tin này cho các trang web đã thương lượng kết nối WebRTC với trình duyệt của người dùng. Kể từ đó, nhiều nhà quảng cáo và các cơ quan thực thi pháp luật đã sử dụng lỗi liên quan đến WebRTC để thu thập địa chỉ IP của khách truy cập trang web.

Hầu hết các trình duyệt được kích hoạt WebRTC theo mặc định

Các nhà phát triển trình duyệt cũng bỏ ra thời gian để tìm cách tích hợp hỗ trợ WebRTC trong mã của họ, phát hành các add-on, tính năng ngăn chặn rò rỉ địa chỉ IP.

Tuy nhiên WebRTC không bị vô hiệu hóa trên các trình duyệt, các tính năng này vẫn được kích hoạt theo mặc định trên các trình duyệt chính trừ Tor Browser, Edge và Internet Explorer.

Dưới đây là danh sách các nhà cung cấp VPN làm rò rỉ địa chỉ IP của người dùng. Tại thời điểm viết bài, có khoảng 80 nhà cung cấp VPN thương mại vẫn chưa được kiểm tra.

Một số VPN lưu trữ nhật ký người dùng

Nhóm nghiên cứu tại TheBestVPN.com cũng phát hiện ra vấn đề đáng lo ngại khác, 26 trong tổng số 115 client VPN mà họ kiểm tra lưu giữ một số file nhật ký của người dùng.

Nghiên cứu không phân tích các cài đặt client VPN thực tế, nhưng các chính sách bảo mật được xuất bản trực tuyến bởi mỗi dịch vụ.

Để hạn chế khả năng rò rỉ dữ liệu, thông tin, Taimienphi.vn khuyến cáo bạn đọc nên sử dụng những dịch vụ VPN miễn phí tốt nhất nếu không thể chi trả chi phí sử dụng VPN trả phí.

Nếu bạn ưa thích việc stream video (phát video trực tiếp) và bạn đang sở hữu một chiếc Chromecast, tin vui là giờ đây người dùng có thể stream video và âm thanh trực tiếp trên Chromecast chỉ với một vài thao tác thiết lập đơn giản mà không cần phải sử dụng ứng dụng của bên thứ ba.

Khoảng 20% nhà cung cấp VPN làm rò rỉ địa chỉ IP của khách hàng thông qua lỗi WebRTC, một trong những lỗi được phát hiện hồi tháng 1/2015, trong đó có cả một số nhà cung cấp VPN mà người dùng chưa từng biết đến.
Cách tìm địa chỉ qua IP
Twitter xác nhận vụ rò rỉ dữ liệu gần đây là từ vi phạm năm 2021
Địa chỉ IP hoạt động như thế nào?
Hotspot Shield, PureVPN, và ZenMate làm lộ địa chỉ IP thật của người dùng
Lỗ hổng bảo mật trong VPN Kaspersky làm rò rỉ DNS Lookup
Tumblr sửa lỗi bảo mật làm rò rỉ thông tin riêng tư của người dùng

ĐỌC NHIỀU