9:59
2/2/2015

Bardzo ciekawy PoC, który pokazuje jak przy pomocy implementacji WebRTC w Chrome i Firefoks można pozyskać lokalny i publiczny adres IP internauty wykorzystując żądania do STUN (które nie są widoczne w konsoli developerskiej, tak przy okazji, a z racji tego, że to nie XMLHttpRequest, to nie blokują ich “adblocki”).

Tak pozyskiwany adres IP można wykorzystać m.in. do trackingu użytkownika.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

20 komentarzy

Dodaj komentarz
  1. a gdzie czesc “co robic, jak zyc?”? ;)

  2. WebRTC w Firefoksie można wyłączyć przestawiając w “about:config” wartość “media.peerconnection.enabled” na “false”

  3. Jak to na kimś zastosować ;> ?

  4. WebRTC nie działa w IE (trochę o planach Microsoftu tutaj: https://webrtchacks.com/microsoft-room-ie-webrtc/)
    WebRTC nie zadziała też, jeśli używacie noscript.

  5. Chrome users can install the WebRTC block extension or ScriptSafe, which both reportedly block the vulnerability.

    Firefox users should be able to block the request with the NoScript addon. Alternatively, they can type “about:config” in the address bar and set the “media.peerconnection.enabled” setting to false.

  6. Noscript jak zwykle niezawodny, zablokował. Musiałem odblokować stronę z “demem” żeby wyświetliło te adresy

  7. W sklepie Chrome’a można znaleźć rozszerzenie “WebRTC Block”. Według testu z browserleaks.com – działa.

  8. Widzę niewygodne komentarze nie są akceptowane ;)

  9. Inny sposób to VPN tunel na ruterze.

  10. ciekawa alternatywa dla ciągle działajacego :D
    http://pastebin.com/raw.php?i=HBLrPBrz

    • Sprawdzałem na IE 11, FF 35, Opera 12.17, Chrome 40.
      function pwn() {
      ….
      }
      alert(pwn());

      zwraca undefined :-D

  11. Wystarczy zaimplementować rozwiązanie opisane w artykule powyżej i wykorzystać na (nie)świadomym użyszkodniku.
    Mam nadzieję, że moja odpowiedź była pomocnna.

  12. Ciekawe, że u mnie na komputerze pokazuje dwa publiczne adresy ip, z czego jeden (nie mój 25.150.125.241) wskazuje na “UK Ministry of Defence”. Na telefonie natomiast go nie ma, jest jedynie prawdziwy.

    • Zapomniałem dołączyć screena: http://www.img.pl/TZPg

    • Mają cie… proste.
      ;p

  13. Na safari również nie działa ;)

  14. […] lokalny adres IP “ofiary” za pomocą JavaScriptu (odpowiednią technikę opisywaliśmy tutaj) 2. Domyśla się, jaki może być adres IP routera (zazwyczaj w tej samej podsieci) 3. […]

  15. A co wówczas kiedy lokalnym , pokazywanym przez WebRTC jest ip routera a nie sieciowe od providera ?
    Skrypt WebRTC block dla Chrome nie działa

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.