2/2/2015
Bardzo ciekawy PoC, który pokazuje jak przy pomocy implementacji WebRTC w Chrome i Firefoks można pozyskać lokalny i publiczny adres IP internauty wykorzystując żądania do STUN (które nie są widoczne w konsoli developerskiej, tak przy okazji, a z racji tego, że to nie XMLHttpRequest, to nie blokują ich “adblocki”).
Tak pozyskiwany adres IP można wykorzystać m.in. do trackingu użytkownika.
a gdzie czesc “co robic, jak zyc?”? ;)
Proszę
http://www.ghacks.net/2015/01/27/sites-may-detect-the-local-ip-address-in-browsers-supporting-webrtc/
Mają mój adres 192.168.0.3 , co robić jak żyć?
WebRTC w Firefoksie można wyłączyć przestawiając w “about:config” wartość “media.peerconnection.enabled” na “false”
Jak to na kimś zastosować ;> ?
WebRTC nie działa w IE (trochę o planach Microsoftu tutaj: https://webrtchacks.com/microsoft-room-ie-webrtc/)
WebRTC nie zadziała też, jeśli używacie noscript.
Chrome users can install the WebRTC block extension or ScriptSafe, which both reportedly block the vulnerability.
Firefox users should be able to block the request with the NoScript addon. Alternatively, they can type “about:config” in the address bar and set the “media.peerconnection.enabled” setting to false.
Noscript jak zwykle niezawodny, zablokował. Musiałem odblokować stronę z “demem” żeby wyświetliło te adresy
W sklepie Chrome’a można znaleźć rozszerzenie “WebRTC Block”. Według testu z browserleaks.com – działa.
Widzę niewygodne komentarze nie są akceptowane ;)
Inny sposób to VPN tunel na ruterze.
ciekawa alternatywa dla ciągle działajacego :D
http://pastebin.com/raw.php?i=HBLrPBrz
Sprawdzałem na IE 11, FF 35, Opera 12.17, Chrome 40.
function pwn() {
….
}
alert(pwn());
zwraca undefined :-D
Wystarczy zaimplementować rozwiązanie opisane w artykule powyżej i wykorzystać na (nie)świadomym użyszkodniku.
Mam nadzieję, że moja odpowiedź była pomocnna.
Ciekawe, że u mnie na komputerze pokazuje dwa publiczne adresy ip, z czego jeden (nie mój 25.150.125.241) wskazuje na “UK Ministry of Defence”. Na telefonie natomiast go nie ma, jest jedynie prawdziwy.
Zapomniałem dołączyć screena: http://www.img.pl/TZPg
Mają cie… proste.
;p
Na safari również nie działa ;)
[…] lokalny adres IP “ofiary” za pomocą JavaScriptu (odpowiednią technikę opisywaliśmy tutaj) 2. Domyśla się, jaki może być adres IP routera (zazwyczaj w tej samej podsieci) 3. […]
A co wówczas kiedy lokalnym , pokazywanym przez WebRTC jest ip routera a nie sieciowe od providera ?
Skrypt WebRTC block dla Chrome nie działa