Foto: derStandard.at

Eigentlich sind VPN-Verbindungen vor allem dazu gedacht, sämtlichen Datenverkehr in einen sicheren Tunnel zu packen, und so in einem unsicheren Umfeld vor der Neugier Dritter zu schützen. Entsprechend schreiben viele große Firmen ihren Angestellten die Nutzung solcher Services vor. Doch die Absurditäten regionaler Beschränkungen bei Online-Services haben dafür gesorgt, dass VPNs immer öfter auch für einen anderen Zweck genutzt werden: Um die eigene IP-Adresse zu verschleiern und so vorzutäuschen, dass man eigentlich in einem anderen Land sitzt. Dadurch lässt sich dann etwa das US-amerikanische Angebot von Services wie Netflix nutzen.

Ausprobiert

Genau diese tarnende Funktion von VPNs unterlaufen nun aber aktuelle Ausgaben von Chrome und Firefox. So demonstriert der Entwickler Daniel Roesler mit Beispielcode auf Github, dass sich bei den Browsern in vielen Fällen die echte IP-Adresse herausfinden lässt, wie heise.de berichtet.

WebRTC

Das Problem ist bei beiden die Implementation von WebRTC, das zur Echtzeitkommunikation per Audio und Video genutzt wird. Damit dies auch funktioniert, wenn die Nutzer hinter einer Firewall sitzen, erlaubt WebRTC Webseiten über einen vom Browser-Hersteller gestellten STUN-Server die öffentliche IP des jeweiligen Nutzers abzufragen. Dabei geben sich diese aber gesprächiger als sie eigentlich sollten, und liefern unter gewissen Umständen nicht nur die vom VPN gebotenen IP-Adresse sondern auch die echte.

Demonstration

Zu der Entdeckung passend liefert Roesler auch gleich eine Seite, auf der das Problem demonstriert wird. Diese zeigt im Test allerdings auch, dass das Auslesen der echten IP offenbar nicht bei allen Systemen funktioniert. Wer sehen will, ob sein Setup betroffen ist, sollte also selbst den Test laufen lassen.

Abschalten

Bis sich die Hersteller dem Problem widmen, bleibt betroffenen Nutzern nur, die entsprechende Funktion zu deaktivieren. Zu diesem Zweck gibt es für Chrome eine Erweiterung namens WebRTC Block, unter Firefox kann in about:config der Wert für media.peerconnection.enabled auf "false" gesetzt werden. (apo, derStandard.at, 1.2.2015)