Firefox und Chrome verraten IP-Adressen von VPN-Nutzern
VPN-Verbindungen sollten die IP-Adresse des Nutzers verschleiern.
Bild: Photosani - fotolia.com
Ein einfaches Skript hebelt die Verschleierung von IP-Adressen bei VPN-Verbindungen (Virtual Private Network) aus - zumindest dann, wenn der Browser das Protokoll WebRTC unterstützt, das dazu dient, Echtzeit-Kommunikation zwischen Browsern zu ermöglichen. Sowohl Mozilla Firefox als auch Google Chrome unterstützen WebRTC. Und beide Browser sind gefährdet.
Skript verwendet WebRTC-Anfragen
VPN-Verbindungen sollten die IP-Adresse des Nutzers verschleiern.
Bild: Photosani - fotolia.com
Mit einem VPN-Tunnel können sich Nutzer in ein anderes Netzwerk einwählen und dort wie ein lokaler Rechner Dienste abrufen. Damit übernimmt der Computer auch die externe IP-Adresse des Netzwerks, da alle Internetanfragen durch den VPN-Tunnel geleitet werden. Das kann unter anderem dazu dienen, die eigene IP-Adresse zu verschleiern. Im privaten Umfeld kommt diese Technik oft zum Einsatz, um Geo-Blockaden von Webseiten zu umgehen.
Auf Github.com hat der Nutzer Daniel Roesler ein Skript veröffentlicht, das die echte IP-Adresse eines Nutzers auslesen kann, obwohl diese bei einem Nutzer eines VPN-Tunnels nicht zu ermitteln sein sollte. Stattdessen sollte die externe IP-Adresse des VPN-Servers erscheinen.
Das Skript setzt WebRTC-Anfragen zu sogenannten STUN-Servern ein, die dafür sorgen sollen, dass die Kommunikation zwischen Browsern auch hinter NAT-Firewalls funktionieren. Offenbar versenden die Browser diese Anfragen aber nicht über den VPN-Tunnel, sodass letztlich die echte IP-Adresse des Nutzers in der WebRTC-Antwort der Server enthalten ist und nicht diejenige, die durch das VPN verschleiert ist.
Pikant an den WebRTC-Anfragen zur Ermittlung der IP-Adresse ist, dass der Nutzer sie mit herkömmlichen Mitteln nicht blockieren kann. Weder erscheinen die Anfragen in den Entwickler-Tools der Browser noch lassen sie sich mit Content-Blockern verhindern.
Skript mit Firefox-Browser ausprobiert
Wir haben das Skript ausprobiert und konnten zumindest teilweise die Funktionstüchtigkeit bestätigen. Unser Testaufbau verwendete ein Notebook, das einen vom teltarif.de-Firmenanschluss unabhängigen DSL-Anschluss verwendete. Über einen VPN-Tunnel stellten wir eine Verbindung in das Firmennetz her. Wir führten das Skript mit dem Firefox-Browser lokal aus.
Eine externe Webseite (showip.net) zeigte ohne VPN-Tunnel die externe IP-Adresse des Internetanschlusses an. Schalteten wir den Firefox-Browser um, sodass er die VPN-Verbindung nutzte, so zeigte die Webseite showip.net eine andere IP-Adresse an - die des teltarif.de-Netzwerks. Das Skript hingegen ließ sich davon nicht beeindrucken und zeigte nach wie vor die IP-Adresse des unabhängigen Internet-Anschlusses an.
Abhilfe: WebRTC blockieren
Abhilfe schafft nur, WebRTC zu deaktivieren. Dazu muss der Nutzer in der URL-Zeile von Firefox about:config eingeben. In der dort erscheinenden (langen) Liste genügt dann ein Doppelklick auf den Wert media.peerconnection.enabled - damit wird WebRTC deaktiviert. In unserem Test gab das Skript dann keine IP-Adressen mehr aus. Wer den Browser Chrome einsetzt, muss eine eigene Erweiterung installieren - zum Beispiel WebRTC-Block [Link entfernt] .
VPN: Mit einem Virtual Private Network gegen Geo-Blockaden
Ein VPN (Virtual Private Network) dient dazu, eine verschlüsselte Verbindung zu einem anderen Netzwerk aufzubauen. Häufiges Anwendungsszenario ist beispielsweise, einem Mitarbeiter Zugriff auf das Unternehmensnetzwerk zu gewähren, obwohl er sich nicht physisch in der Firma befindet.
Im privaten Umfeld kommen VPN-Verbindungen oft zum Einsatz, um geographische Blockaden von Inhalten zu überwinden. Beispielsweise verhindern viele Video-Dienste den Zugriff aus dem Ausland - dann erscheint statt dem Video der Schriftzug "Dieses Video ist in deinem Land nicht verfügbar". Anhand der IP-Adresse ist das möglich, da IP-Adressen nicht weltweit willkürlich vergeben werden, sondern in Blöcken. Stammt also eine IP-Adresse aus dem Pool für Europa, kann ein amerikanischer Anbieter daraufhin die Inhalte sperren. Verbindet sich der Nutzer aber über einen VPN-Tunnel mit einem Server in den USA, erkennt der Dienst eine amerikanische IP-Adresse. Mit Hilfe der WebRTC-Lücke könnten aber auch Werbenetzwerke weitere Daten aufzeichnen.