Firefox und Chrome verraten IP-Adressen trotz VPN

NordWest

Active Member
Viele Nutzer verschleiern ihre eigentliche IP-Adresse und damit ihren Standort, indem Sie über einen VPN-Server ins Internet gehen. Die WebRTC-Implementierungen von Mozilla Firefox und Google Chrome plaudern aber die Adresse aus.
Ein VPN-Zugang im Ausland ist eine praktische Sache. Durch ihn erkennt ein Webdienst nicht, wo man sich tatsächlich aufhält. Denn in allen mit ihm ausgetauschen IP-Paketen steht die IP-Adresse des VPN-Anbieters an der Stelle, wo normalerweise die vom deutschen Internetprovider zugeteilte Adresse stehen sollte. Ein Zweck dieser Verschleierungstaktik ist zum Beispiel, gerade das US-amerikanische Angebot eines Film- und Video-Dienstes wie Netflix nutzen zu können. Das gefällt der Filmindustrie natürlich gar nicht, weil sie die Rechte länderbezogen verkauft. Daher versuchen Netflix und Co. immer mal wieder, VPN-Nutzer zu erkennen und auszusperren.
Jetzt hat der Programmierer und Ingenieur Daniel Roesler auf Github gezeigt, wie ein Server-Betreiber die ursprüngliche IP-Adresse des Benutzers trotzdem erfahren kann. Firefox und Mozilla implementieren WebRTC, eine Technik zur Echtzeitkommunikation im Browser. Damit sind unter anderem Video-Chats zwischen zwei Browsern möglich – ohne zusätzlichen Dienst wie Skype. Natürlich sollen auch Rechner mitchatten dürfen, die hinter einer Firewall sitzen und (NAT-sei-Dank) eine private statt einer öffentlichen, aus dem Internet erreichbaren IP-Adresse haben. Deshalb erlauben Firefox und Chrome einer Webseite, mit JavaScript einen STUN-Server nach der öffentlichen IP-Adresse zu fragen, mit der sie im Internet zu sehen sind.
[h=5]Zum Glück gibt es Abhilfe[/h] In einer Demo zeigt Roesler, dass der öffentliche STUN-Server stun.services.mozilla.com dabei nicht nur die Adresse übermittelt, mit der man sozusagen am Ausgang des VPN-Tunnels zu sehen ist.. Er verrät auch die öffentliche Adresse, von der aus die VPN-Verbindung aufgebaut wurde. Wenn ein Webdienst solchen Code in seine Webseite einbaut, hat er ein weiteres Mittel, um trotz VPN herauszufinden, wo der Rechner des Benutzers steht.
Zum Glück gibt es Abhilfe: Für Chrome gibt es die Erweiterung WebRTC Block. In Firefox kann der Benutzer in about:config den Wert media.peerconnection.enabled einfach auf False setzen

http://www.heise.de/newsticker/meld...e-verraten-IP-Adressen-trotz-VPN-2534438.html
 
http://ipleak.net/ überprüft nun auch auf ein WebRTC Leak

20873767kr.png
 
Angeblich soll diese Lücke über den Stun-Server ab Firefox-34 bestehen. Genaue Bestätigung konnte ich nirgendwo finden.
Weiss jemand mehr? Kann man das irgendwo nachlesen?
 
Beim Durchsuchen der C-Platte nach "WebRTC" eine Datei namens WebRTCIdentityStore im Opera-Profilordner gefunden und gelöscht.
 
Angeblich soll diese Lücke über den Stun-Server ab Firefox-34 bestehen. Genaue Bestätigung konnte ich nirgendwo finden.
Weiss jemand mehr? Kann man das irgendwo nachlesen?

In Firefox, kann man in der Konfiguration („about:config“ in die Adressleiste eingeben) den Wert für media.peerconnection.enabled auf „false“ setzen.

In 31.7 ESR gibt es diesen Schalter bereits.
 
In Firefox, kann man in der Konfiguration („about:config“ in die Adressleiste eingeben) den Wert für media.peerconnection.enabled auf „false“ setzen.

In 31.7 ESR gibt es diesen Schalter bereits.
Du kannst auch ein Add-on für den Firefox einspielen.
Damit kannst Du WebRTC ein-abschalten:
Add-on-Suchenfenster: Disable WebRTC 1.0.5.1-signed
 
Und auch in Seamonkey (about:config) und Thunderbird (Konfiguration anpassen = about:config) den Wert für media.peerconnection.enabled auf „false“ setzen.
In Thunderbird geht das auch alternativ mit einem Edit der Datei "prefs.js" im Profilordner.
 
Ja, Kakerlake und ich schaue gerade dem Fenster. Dort interessiert mich besonders der blaue Himmel.
Gibt's eine Botschaft von Heise?

SSLv2, v3 und TLS1 sind ziemlich alt und sollte man deaktivieren wo es geht. Je höher die TLS-Version umso besser. Habe zuletzt Jitsi entsprechend eingestellt.
 
Last edited:
TLSv1 ist nicht kritisch, ssl V2/V3 hingegen schon. Das sollte man in jedem Fall deaktivieren, ob es unbedingt auch für TLSv1 nötig ist ist fraglich, zumal man sich damit evtl vor Webinhalten aussperrt, die >TLSv1 nicht unterstützen.
 
Beim Durchsuchen der C-Platte nach "WebRTC" eine Datei namens WebRTCIdentityStore im Opera-Profilordner gefunden und gelöscht.

Macht man aber auf whoer.net einen IP-Check, dann wird dieses WebRTC-Ding wieder aktiviert.
Mit

C:\>if exist "%appdata%\Opera Software\Opera Stable\WebRTC*.*" del "%appdata%\Opera Software\Opera Stable\WebRTC*.*"
(auf meinem PC im Startup)

kann man das zwar wieder löschen, aber eigentlich ist Opera für WebRTC-sensible Menschen Kacke.
Ein besserer Workaround für Opera wäre erforderlich.
 
Back
Top