Многие персональные VPN раскрывают IP-адрес из-за бреши в WebRTC

Многие персональные VPN раскрывают IP-адрес из-за бреши в WebRTC

Многие персональные VPN раскрывают IP-адрес из-за бреши в WebRTC

Эксперт в области безопасности, известный под псевдонимом VoidSec (настоящее имя Паоло Станьо) обнаружил проблему с VPN-сервисами — оказалось, что 23% (16 из 70) протестированных решений раскрывают IP-адрес пользователей через WebRTC.

Вообще, проблемы у WebRTC с конфиденциальностью известны давно — как минимум с 2015 года. WebRTC представляет собой популярный проект с открытым исходным кодом, предназначенный для организации передачи потоковых данных между браузерами или другими поддерживающими его приложениями.

WebRTC часто взаимодействует с ICE (Interactive Connectivity Establishment) и серверами STUN (Session Traversal Utilities for NAT). VPN-решения, в свою очередь, используют STUN для преобразования локального IP-адреса пользователя VPN в общедоступный, во многом схема их работы похожа на то, как работает домашний маршрутизатор.

По словам VoidSec, WebRTC позволяет запросить информацию, которая должна оставаться конфиденциальной.

«WebRTC позволяет отправлять запросы на серверы STUN, которые возвращают “скрытый” домашний IP-адрес, а также адреса локальной сети», — говорит эксперт.

Такие запросы обычно не видны, поскольку они не являются частью стандартного взаимодействия XML-HTTP, но их можно осуществить с помощью JavaScript, утверждает специалист. Этот метод можно реализовать в любом браузере, который поддерживает WebRTC и JavaScript.

Во многих браузерах — Brave, Chrome (десктопная версия и для Android), Firefox, Samsung Internet Browser, Opera, Vivaldi — WebRTC и JavaScript включены по умолчанию.

Исследователь опубликовал список VPN-сервисов, которые допускают утечку конфиденциальной инфомрации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минэк России беспокоит несовершенство регулирования работы с ИИ

Выступая на проходящем в Москве форуме ЦИФРАПРАВА, директор департамента цифрового развития и экономики данных Минэкономразвития РФ Владимир Волошин поднял вопрос о проблемах внедрения и коммерческого использования ИИ.

Внедрение ИИ в повседневные сервисы, по словам спикера, не всегда оправданно и может создать дополнительные сложности для пользователей.

«Звонишь в клинику и минут десять пытаешься доказать, что ты человек и что тебе нужен человек», — цитирует РБК выступление представителя министерства.

В качестве примера Волошин также привел инцидент с беспилотным авто в Санкт-Петербурге, спровоцировавшим легкое ДТП: его разбор потребовал созыва специальной комиссии. К слову, похожий случай недавно произошел в Калифорнии — полицейские не смогли выписать тикет за нарушение ПДД, так как в машине не оказалось водителя.

Проблема, способная затормозить развитие ИИ-технологий в стране, требует корректировок на законодательном уровне, считает докладчик. Из-за несовершенства регулирования сферы ИИ российские бизнесмены почти не используют большие языковые модели, опасаясь возможной кары за нарушение требований ИБ.

Для исправления ситуации представитель Минэка предложил создать экспериментальные правовые режимы, позволяющие бизнес-структурам апробировать методы обезличивания данных и работать с большими моделями в безопасной регуляторной среде.

Минпромторг тоже выступает за совершенствование регулирования сферы ИИ и даже разработал проект универсального законодательного акта. А в Госдуме создали межфракционную рабочую группу для выработки принципов регулирования ИИ, предложений по отраслевому применению таких технологий и по противодействию злоупотреблениям ИИ.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru