3 feb. 2015

Vulnerabilidad crítica en WebRTC permite visualizar la IP del usuario

Se ha descubierto una vulnerabilidad extremadamente crítica en WebRTC (Web Real-Time Communication), el estándar de código abierto que permite hacer llamadas de vídeo y de voz sin necesidad de ningún plugin en los navegadores.

El mes pasado, los investigadores de seguridad revelaron una falla de seguridad masiva que permite que el propietario de un sitio web obtenga fácilmente las direcciones IP reales de los usuarios a través de WebRTC, incluso si están usando una VPN o incluso PureVPN para enmascarar sus direcciones IP reales.

La falla de seguridad afecta a WebRTC de Internet Explorer, Google Chrome y Mozilla Firefox y parece estar limitado al sistema operativo Windows.

¿Cómo funciona la vulnerabilidad en WebRTC?

WebRTC permite realizar solicitudes a los servidores STUN (Session Traversal Utilities for NAT) que devuelven la dirección IP "escondida", así como las direcciones de red local para el sistema que está siendo utilizado por el usuario.

Los resultados de las solicitudes se pueden acceder usando Javascript, pero al hacerse fuera del procedimiento de solicitud XML/HTTP normal, no son visibles en la consola de desarrollador. Esto significa que el único requisito para que funcione es tener WebRTC y Javascript habilitado en el navegador y JavaScript.

Daniel Roesler ha publicado una prueba de concepto y demostración en GitHub que permite a las personas comprobar si se ven afectados por la falla de seguridad. Para comprobarlo también se puede realizar lo siguiente:

Ingresar a http://ipleak.net. Si el navegador es seguro, se debería ver algo como esto:
Si el navegador está afectado por este problema, se verá información sobre la verdadera dirección IP.

¿Cómo protegerse?

Afortunadamente este fallo de seguridad crítico es bastante fácil de arreglar.

Para los usuarios de Chrome: los usuarios del navegador basado en Chromium pueden instalar la extensión WebRTC Block o ScriptSafe, que según los informes, bloquean la vulnerabilidad.

Para los usuarios de Firefox: las única extensión que bloquea estas consultas es NoScript. O, para hacerlo "a mano", se puede realizar lo siguiente:
  • Ingresar a "about:config" en la barra de direcciones.
  • Buscar "media.peerconnection.enabled"
  • Establecer el valor en "false"
  • Esto deshabilta WebRTC en Firefox, al menos hasta que la vulnerabilidad sea solucionada oficialmente.
Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!