市面近1/4的VPN服务有漏洞，隐匿不成反而泄漏用户IP

VPN用户要小心了，你用的VPN服务可能意外的泄漏了你的真实IP位置。资安研究员发现，市面上有23％的VPN服务，透过浏览器的WebRTC技术泄漏使用者的真实IP位置，不幸的是WebRTC在主流浏览器多数是预设启用的，Voidsec建议，暂时停用浏览器的WebRTC。

资深安全研究员以及渗透测试员Paolo Stagno，以笔名Voidsec在网络上揭露，他研究了市面上70家厂商的VPN服务，发现其中有16家的VPN服务，会透过WebRTC泄漏使用者的IP位置，占整体研究的VPN服务23％。Paolo Stagno表示，实际可能有更多的VPN服务也有此漏洞，但由于他没办法付费订阅这么多种不同的商用VPN服务，希望使用者可以回馈给他最新的资讯。

Paolo Stagno在Google文件上列出了他的检测结果，包括浏览器以及VPN服务清单，并设置了一个检测网页，使用者启用VPN服务后浏览该网页，便能知道自己所使用的VPN服务有无该漏洞。Paolo Stagno将网页上运作的程式码开源在GitHub上，并希望使用过检测服务的用户能回报结果，帮助他完成整份检测清单。

WebRTC是一个开源专案，让浏览器以及行动应用能用简易的API，建立即时通讯（Real-Time Communications，RTC）功能。WebRTC服务的中介服务器STUN，会保留用户的公有IP以及私有IP位置，问题发生在STUN服务器会将这些资讯透漏给与用户建立WebRTC连线的网站。Paolo Stagno提到，使用JavaScript便能存取这些资讯，而且由于这并非正常的XML/HTTP请求程序，因此在开发者控制台（Developer Console）是看不到的，这种去匿名技术的成立条件，用户端必须同时支援WebRTC和JavaScript。

Paolo Stagno建议，如果使用者现在想保证完全的匿名浏览，第一优先便是停用WebRTC与JavaScript，停用画布渲染（Canvas Rendering），并总是启用DNS Fallback功能，禁止所有VPN供应商外的所有连线，无论在连接VPN之前与之后，都应完全关闭所有浏览器，清除浏览器暂存档、历史纪录以及Cookie。