VPN黑名单出炉，这些VPN会泄露用户真实IP地址

国外安全项目Voidsec（Github）近日对市场上常见的上百个VPN（受测VPN服务商名单）检测发现，为数众多的VPN依然存在WebRTC漏洞（这个漏洞已经曝光三年了！），会暴露用户的真实IP地址。

关于WebRTC：

WebRTC是网页实时通信（Web Real-Time Communication）的缩写，是一个支持网页浏览器进行实时语音对话或视频对话的技术，谷歌2010年以6820万美元收购Global IP Solutions公司获得了WebRTC技术，次年2011年5月开放了项目源代码，在行业内得到了广泛的支持和应用，成为下一代网页视频通话的标准。

漏洞原理

WebRTC采用STUN(Session Traversal Utilities for NAT)、TURN和ICE等协议栈对VoIP网络中的防火墙或者NAT进行穿透。用户发送请求至服务器，STUN服务器会返回用户所用系统的IP地址和局域网地址。

返回的请求可以通过JavaScript获取，但由于这个过程是在正常的XML/HTTP请求过程之外进行的，所以在开发者控制台看不到。这意味着，这个漏洞的唯一要求就是浏览器要支持WebRTC和JavaScript。

会泄露用户真实IP地址的VPN服务商名单（截至2018年4月2日）

• BlackVPN
• ChillGlobal (Chrome and Firefox Plugin)
• CyrenVPN
• Glype (Depends on the configuration)
• hide-me.org
• HideMyAss
• Hola!VPN
• Hola!VPN Chrome Extension
• HTTP PROXY in browser that support Web RTC
• IBVPN Browser Addon
• PHP Proxy
• phx.piratebayproxy.co
• PrivateTunnel
• psiphon3 (not leaking if using L2TP/IP)
• SmartHideProxy
• SOCKS Proxy on browsers with Web RTC enabled
• SumRando Web Proxy
• TOR as PROXY on browsers with Web RTC enabled
• Windscribe Addons (Browser Extension/Plugin)

实现匿名浏览的安全注意事项：

• 关闭WebRTC
• 关闭浏览器的JavaScript（或者至少部分功能，建议使用NoScript）
• 关闭Canvas Rendering
• VPN连接前后，都要关闭所有浏览器实例（页面）
• 清空浏览器缓存、历史和Cookie
• 关闭除了VPN服务商以外的所有出站连接