Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Risico's van WebRTC

16-07-2015, 13:02 door Erik van Straten, 7 reacties
Laatst bijgewerkt: 16-07-2015, 13:05
Wat is het risico? Via WebRTC kan een webserver jouw lokale interne IP-adres vaststellen. Voor veel mensen zal dit een RFC1918 adres zijn (uit de reeksen 192.168.x.x, 172.16.0.0 t/m 172.31.255.255, 10.x.x.x). Zo'n adres krijg je als je achter een "NAT-router" zit (feitelijk PNAT).

Waarom zou iemand dat willen weten?
1) Nauwkeuriger pinpointen wie precies vanachter een publiek IP-adres een site bezoekt (privacy risico)

2) Eenvoudiger kunnen zien wat jouw subnet is en gokken van bijvoorbeeld het interne IP-adres van jouw router/modem, NAS device etc. (security risico). Met de toename van lokaal genetwerkte devices (IoT, Internet of Things) nemen de risico's dan alleen maar toe, vooral als het default beheerwachtwoord daarop niet gewijzigd is of gegevens zonder wachtwoord kunnen worden opgevraagd of zelfs gewijzigd.

Aanvulling 13:05: wat WebRTC is, en het extra risico dat dit betekent voor VPN en TOR gebruikers, lees je in https://en.wikipedia.org/wiki/WebRTC#Concerns.

Opmerkingen bij punt 2: lokale IP-adressen kunnen ook in de headers van e-mails worden gelekt. Het niet kennen van jouw lokale IP-adres betekent niet dat een aanvaller, via jouw web browser (met name met plugins daarin), geen informatie over devices aan jouw interne netwerk kan vergaren. Maar met de kennis van het interne IP-adres van jouiw PC wordt dat wel makkelijker.

Nieuws: https://webrtchacks.com/dear-ny-times/ beschrijft in detail hoe de New York Times gebruik maakt van WebRTC om jouw lokale IP-adres te bepalen. Daarover loopt een discussie bij Reddit: https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/.

Volgens die discussie bestaat er een Chrome plugin die je hiertegen beschermt (https://chrome.google.com/webstore/detail/webrtc-block/nphkkbaidamjmhfanlpblblcadhfbkdm), maar dat zou niet kloppen volgens diafygi in https://www.reddit.com/r/netsec/comments/3dgwee/how_the_new_york_times_uses_webrtc_to_gather/ct56zj9. Daarbij verwijst diafygi naar een de beschrijving van een POC in https://github.com/diafygi/webrtc-ips.

Die POC zelf vind je in https://diafygi.github.io/webrtc-ips/ (als jouw browser kwetsbaar is zie je ook jouw lokale IP-adres verschijnen - de aanvaller kan dat natuurlijk net zo goed niet tonen en via bijv. een POST commando, onopgemerkt door jou, naar de server sturen). Vergelijkbare checks vind je in http://net.ipcalf.com/ en https://www.browserleaks.com/webrtc.

Onderaan mijn bijdrage eerder deze week https://www.security.nl/posting/435417/Facebook-topman+wil+dat+Adobe+stopt+met+Flash#posting435462 noemde ik al WebRTC, en eind 2014 schreef Anoniem al in https://www.security.nl/posting/410482/Mozilla+dicht+9+lekken+in+Firefox+34+en+schakelt+SSLv3+uit#posting410492 hoe je WebRTC in Firefox kunt uitschakelen:
02-12-2014, 10:59 door Anoniem: Onder "about:config"
Zoek op
media.peerconnection.enabled
Die staat op true, dubbelklik op die regel is omzetten naar (false)

Weet iemand hoe je de POC https://diafygi.github.io/webrtc-ips/ blokkeert in Chrome?
Reacties (7)
16-07-2015, 14:38 door Anoniem
Schitterende literatuurstudie weer

https://en.wikipedia.org/wiki/WebRTC#Concerns
Concerns

In January 2015, TorrentFreak reported that browsers supporting WebRTC suffer from a serious security flaw that compromises the security of VPN-tunnels, by allowing the true IP address of the user to be read.[17] The IP address read requests are not visible in the browser's developer console, and they are not blocked by common ad blocking/privacy plugins (enabling online tracking by advertisers and other entities despite precautions).[18]

Wanneer ga je nou een keer Torbrowser downloaden, installeren, bekijken de bijbehorende instructies èn het bijbehorende Faq lezen?

Zeer gewenst bij terugkerende 'boekenwijsheid' aangaande Tor, dan is het namelijk een keer concreet en had je ook kunnen zien dat onder de about:config van Tor dit te vinden is.

media.peerconnection.enabled;false

Standaard setting, nergens buiten de about config een setting te vinden die dat kan inschakelen.
Webrtc wordt namelijk niet gebruikt in Torbrowser.

Dag zorgjes,
dag Torrentblah

Groet, 02-12-2014, 10:59 door Anoniem
(Firefox, Torbrowser en diverse andere browsers gebruiker)


P.s., nogal ondergesneeuwd, een ander belangrijk privacy iets dat voor 'iedereen geldt' , namelijk hardware profiling (device fingerprinting) op basis van webrtc waardoor je zonder koekies te herkennen bent.
Kookies kan je wissen, je hardware profiel niet (zo makkelijk).

https://www.browserleaks.com/webrtc
(menu'tjes onderaan uitklappen!)
16-07-2015, 16:15 door Anoniem
Erik, lijkt allemaal wel mee te vallen in geval van ny times. Zie https://news.ycombinator.com/item?id=9893561 en https://github.com/EFForg/privacybadgerchrome/issues/431#issuecomment-121360707
16-07-2015, 20:20 door karma4
Het doel van webrtc is gebeld kunnen worden vanuit buiten op je browser zonder centrale control-servers die het verkeer reguleren. Het is je smartphone vervanging voor spraak. Je smartphone is publiekelijk benaderdbaar, dus webrtc moet dat doel ook bereiken. welke van de twee alternatieven is onveiliger? Gaarne A/B testing en evaluatie.
17-07-2015, 15:09 door dutchfish - Bijgewerkt: 17-07-2015, 15:13

Weet iemand hoe je de POC https://diafygi.github.io/webrtc-ips/ blokkeert in Chrome?

chrome://flags/#enable-webrtc-stun-origin

edit:
Voor Android:
chrome://flags/#disable-webrtc
18-07-2015, 13:15 door Anoniem
De laatste versie van uBlock Origin (niet uBlock) kan dit blokkeren.
21-07-2015, 14:23 door Anoniem
NO WEBRTC LEAK
NO CANVAS FINGERPRINTINGS

https://www.epicbrowser.com
21-07-2015, 15:26 door Anoniem
Door Anoniem: NO WEBRTC LEAK
NO CANVAS FINGERPRINTINGS

https://www.epicbrowser.com

Met èchte privacy
https://www.torproject.org/download/download-easy.html.en

En zonder ingebouwde zoekresultaten lijsten van sponsors
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search