Imagen: ThreatPost
Un agujero recientemente publicitado en WebRTC, un protocolo de comunicación web, está revelando las direcciones IP de los usuarios locales, incluso aquellos que toman pasos adicionales para ocultar la suya utilizando una red privada virtual (VPN).
Daniel Roesler, un investigador con sede en San Francisco que ha incursionado en el cifrado (encripción), publicó una demostración en GitHub la semana pasada para ilustrar cómo funciona la vulnerabilidad.
La prueba de concepto de Roesler muestra cómo los sitios web hacen peticiones a los servidores. STUN - o Session Traversal Utilities for NAT - envían una copia de ping que contiene la dirección IP y el puerto del cliente desde la perspectiva del servidor. Las direcciones IP locales y públicas que el usuario posee pueden extraerse por medio de peticiones JavaScript.
Mientras que los investigadores ya han sospechado desde el inicio de WebRTC que el protocolo podría ser utilizado para revelar las direcciones IP locales, la prueba de concepto de Roesler esboza un potencial problema de seguridad y privacidad que se ha ido comprendiendo mejor en los últimos meses ya que los navegadores siguen adoptando la tecnología.
Tal vez lo más alarmante, afirma Roesler, es que los usuarios que implementan adblockers no pueden impedir que se ejecuten las solicitudes de STUN, ya que estos se llevan a cabo fuera del procedimiento de solicitud normal.
"Estas solicitudes STUN se hacen fuera del procedimiento normal de XMLHttpRequest, por lo que no son visibles en la consola de desarrollo o en condiciones de ser bloqueados por los plugins como AdBlockPlus o Ghostery," escribió Roesler en su página de Github.
Muchos usuarios preocupados por la privacidad utilizan plugins como AdBlockPlus y Ghostery, además de acceder a Internet a través de servidores proxy y VPN para mantener sus direcciones IP envuelta en el secreto. Se podría razonó que el agujero no pasa por gran parte de la premisa de utilizar una VPN.
Además de eso Roesler afirma que los usuarios deben preocuparse de los anunciantes que se aprovechan de la falla.
En su post GitHub, Roesler escribe que si un anunciante configurara un servidor STUN con un dominio comodín, podrían hacer este tipo de solicitudes disponibles para el seguimiento en línea, algo que podría dar lugar a un desastre de situaciones adicionales y hacer que sea aún más fácil para los anunciantes de identificar usuarios.
Por el momento, debido a la forma WebRTC está desplegado, el problema afecta principalmente a los usuarios que ejecutan ya sea Google Chrome o Mozilla Firefox en Windows.
Los usuarios pueden inhabilitar WebRTC en cualquier navegador. Los usuarios de Firefox pueden escribir "about:config" en la barra de direcciones del navegador y luego establecer "media.peerconnection.enabled" a false, mientras que los usuarios de Chrome pueden entrar "chrome://flags/" en la barra de direcciones del navegador y habilitar "Desactivar enumeración de dispositivos WebRTC".
También hay plugins, incluyendo la extensión bloque WebRTC o ScriptSafe para Chrome y NoScript para Firefox, que mitigan la vulnerabilidad.
WebRTC, o Web Comunicación en tiempo real, es un proyecto de código abierto con el apoyo de Google utilizado principalmente para la comunicación de navegador a navegador, llamadas de voz, video chat, y así sucesivamente. El protocolo HTML5, que es realmente más de un directorio de API, reduce la necesidad de utilizar varios plugins y se desplegó recientemente junto con el cliente Firefox Hello en Firefox 34. Google comenzó a integrar WebRTC en Chrome desde el 2011, pero no fue hasta el verano pasado que algunas de sus aplicaciones, como Hangouts, se integró totalmente con la plataforma.
No está claro si el problema nunca sera atendido por Google, o si es un error de diseño inherente que los usuarios tendrán que hacer frente por sí solos. Google no respondió de inmediato a una solicitud de comentarios el lunes.
Fuente; ThreatPost
Fuente; ThreatPost
