Firefox und Chrome zeigen IP-Adressen trotz VPN
VPN-Services erfreuen sich immer größerer Beliebtheit. Zum einen ermöglichen sie die Nutzung von Diensten, die aufgrund der öffentlich sichtbaren Adresse des Computers sonst geographisch limitiert sind, wie etwa die Nutzung von Streaming-Diensten wie Netflix. Gleichzeitig bieten sie Schutz, um die Privatsphäre im Internet besser wahren zu können. Einem Webentwickler zufolge könnten nun ausgerechnet die beliebten Browser Firefox und Chrome aufgrund eines neuen Webprotokolls letzteres unterwandern.
Chatprotokoll als Schwachstelle
Wie eine Demo auf Github zeigt, erlauben Firefox und Chrome über den implementierten WebRTC-Standard, der Chatkommunikation zwischen Browsern ermöglicht, die Abfrage der öffentlichen IP-Adresse über den jeweiligen STUN-Server der Browserhersteller - im Fall von Mozilla etwa stun.services.mozilla.com. Dieser Vorgang soll ermöglichen, dass die Chatkommunikation auch zwischen PCs möglich ist, die hinter einer Firewall versteckt sind. Laut der Demo wird auf die Javascript-Anfrage aber in vielen Fällen nicht nur die vom VPN zugeteilte, nach außen "sichtbare" IP-Adresse angezeigt, sondern auch die tatsächliche eigene.
Betroffen von der "schweren Sicherheitslücke", wie es etwa TorrentFreak nennt, sollen nur Windows-Rechner sein. Als Abhilfe dient bei Chrome die Installation der Erweiterung WebRTC block oder ScriptSafe. Firefox-Usern wird das Add-on NoScript empfohlen. Alternativ kann über die Eingabe "about:config" in der Browser-URL auch "media.peerconnection.enabled" auf "false" umgestellt werden. TorGuard wiederum empfiehlt in einem Blog-Posting, den VPN-Tunnel direkt am Router anzubringen, da dieser von Software und entsprechenden Scripts direkt am Computer im Normalfall nicht beeinflusst werden kann.