o bezpieczeństwie i nie...
Bardzo ciekawy PoC, który pokazuje jak przy pomocy implementacji WebRTC w Chrome i Firefoks można pozyskać lokalny i publiczny adres IP internauty wykorzystując żądania do STUN (które nie są widoczne w konsoli developerskiej, tak przy okazji, a z racji tego, że to nie XMLHttpRequest, to nie blokują ich “adblocki”).
Tak pozyskiwany adres IP można wykorzystać m.in. do trackingu użytkownika.
Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!
Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:
Weź udział z kolegami w jednym z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
a gdzie czesc “co robic, jak zyc?”? ;)
Proszę
http://www.ghacks.net/2015/01/27/sites-may-detect-the-local-ip-address-in-browsers-supporting-webrtc/
Mają mój adres 192.168.0.3 , co robić jak żyć?
WebRTC w Firefoksie można wyłączyć przestawiając w “about:config” wartość “media.peerconnection.enabled” na “false”
Jak to na kimś zastosować ;> ?
WebRTC nie działa w IE (trochę o planach Microsoftu tutaj: https://webrtchacks.com/microsoft-room-ie-webrtc/)
WebRTC nie zadziała też, jeśli używacie noscript.
Chrome users can install the WebRTC block extension or ScriptSafe, which both reportedly block the vulnerability.
Firefox users should be able to block the request with the NoScript addon. Alternatively, they can type “about:config” in the address bar and set the “media.peerconnection.enabled” setting to false.
Noscript jak zwykle niezawodny, zablokował. Musiałem odblokować stronę z “demem” żeby wyświetliło te adresy
W sklepie Chrome’a można znaleźć rozszerzenie “WebRTC Block”. Według testu z browserleaks.com – działa.
Widzę niewygodne komentarze nie są akceptowane ;)
Inny sposób to VPN tunel na ruterze.
ciekawa alternatywa dla ciągle działajacego :D
http://pastebin.com/raw.php?i=HBLrPBrz
Sprawdzałem na IE 11, FF 35, Opera 12.17, Chrome 40.
function pwn() {
….
}
alert(pwn());
zwraca undefined :-D
Wystarczy zaimplementować rozwiązanie opisane w artykule powyżej i wykorzystać na (nie)świadomym użyszkodniku.
Mam nadzieję, że moja odpowiedź była pomocnna.
Ciekawe, że u mnie na komputerze pokazuje dwa publiczne adresy ip, z czego jeden (nie mój 25.150.125.241) wskazuje na “UK Ministry of Defence”. Na telefonie natomiast go nie ma, jest jedynie prawdziwy.
Zapomniałem dołączyć screena: http://www.img.pl/TZPg
Mają cie… proste.
;p
Na safari również nie działa ;)
[…] lokalny adres IP “ofiary” za pomocą JavaScriptu (odpowiednią technikę opisywaliśmy tutaj) 2. Domyśla się, jaki może być adres IP routera (zazwyczaj w tej samej podsieci) 3. […]
A co wówczas kiedy lokalnym , pokazywanym przez WebRTC jest ip routera a nie sieciowe od providera ?
Skrypt WebRTC block dla Chrome nie działa