WebRTC-IP-Leak-Erkennung: Vom Bug zum Feature
WebRTC-STUN/TURN-Probes enthüllen echte IPs hinter VPNs. Wie wir ein Datenschutzleck in ein Betrugserkennungssignal verwandelt haben.
WebRTC — Web Real-Time Communication — wurde entwickelt, um Videoanrufe, Dateifreigabe und Peer-to-Peer-Datenübertragung direkt im Browser zu ermöglichen. Um diese Verbindungen herzustellen, müssen Browser ihre eigenen Netzwerkschnittstellen entdecken und die Konnektivität mit entfernten Peers aushandeln. Dieser Prozess umfasst STUN-Server (Session Traversal Utilities for NAT) und TURN-Server (Traversal Using Relays around NAT), die Browsern helfen, ihre öffentlichen IP-Adressen zu entdecken und NAT-Firewalls zu durchqueren.
Der Nebeneffekt ist mächtig: Selbst wenn ein Nutzer über ein VPN verbunden ist, kann der WebRTC-Stack des Browsers die echte IP-Adresse hinter dem Tunnel offenlegen. Das geschieht, weil die WebRTC-ICE-Kandidaten (Interactive Connectivity Establishment) lokale Netzwerkschnittstellenadressen enthalten, die das VPN nicht maskiert.
Wie das Leck funktioniert
Wenn ein Browser eine RTCPeerConnection erstellt und ICE-Kandidaten sammelt, fragt er STUN-Server ab, um seine nach außen sichtbare IP zu entdecken. Aber er zählt auch lokale Netzwerkschnittstellen auf — einschließlich der privaten IP des physischen Adapters. Wenn das VPN den Datenverkehr nur auf der IP-Ebene tunnelt, aber den WebRTC-Stack des Browsers nicht so konfiguriert, dass er ausschließlich die Tunnel-Schnittstelle nutzt, sickert die echte IP über den Host-Kandidaten durch.
Bei tracio.ai untersuchen wir dieses Verhalten sorgfältig. Unser IP-Intelligence-System erstellt eine kontrollierte STUN-Anfrage und analysiert die ICE-Kandidaten, die der Browser zurückgibt. Wenn die öffentliche IP aus STUN von der IP abweicht, die wir an unserem Server sehen, markieren wir ein VPN oder einen Proxy. Wenn die IP der lokalen Schnittstelle einen privaten Netzwerkbereich offenbart, der dem angeblichen geografischen Standort widerspricht, erhöhen wir den Suspect Score.
Vom Bug zum Erkennungssignal
Die meisten datenschutzorientierten Browser haben dieses Leck gepatcht — Chrome verlangt eine ausdrückliche Nutzerberechtigung für WebRTC, und Firefox bietet Einstellungen, um nicht-proxied UDP zu deaktivieren. Aber das Wettrüsten geht weiter: Einige VPN-Clients konfigurieren WebRTC nicht ordnungsgemäß, ältere Browserversionen bleiben anfällig, und das Verhaltensmuster einer „gepatchten“ gegenüber einer „leckenden“ WebRTC-Antwort ist selbst ein nützliches Signal.
Unser Ansatz behandelt die WebRTC-Antwort als zusammengesetztes Signal: das Vorhandensein von Host-Kandidaten, die Anzahl der zurückgegebenen ICE-Kandidaten, die Typen der Kandidaten (host, srflx, relay) und das Antwort-Timing tragen alle zum Device-Fingerprint bei. Selbst wenn keine IP durchsickert, ist das Muster des WebRTC-Verhaltens unverwechselbar.
TURN-Server-Probing
Neben STUN untersuchen wir auch das Verhalten von TURN-Servern. TURN-Relays werden typischerweise verwendet, wenn direkte Peer-to-Peer-Verbindungen fehlschlagen — häufig in Unternehmensnetzwerken hinter strengen Firewalls. Die TURN-Allocation-Antwort offenbart Informationen über den Relay-Pfad: das Transportprotokoll (UDP vs. TCP vs. TLS), die Relay-Adresse und die Allocation-Lifetime.
Unser SignalProbe-System sendet sorgfältig gestaltete TURN-Allocation-Anfragen an unsere eigenen Relay-Server. Die Antwortzeit, die unterstützten Transporte und die Erfolgs-/Fehlermuster der Allocation variieren je nach Netzwerkumgebung und bieten zusätzliche Signalvielfalt für das Device-Fingerprinting.
Datenschutzüberlegungen
Wir möchten klarstellen: tracio.ai nutzt WebRTC-Leaks nicht aus, um Nutzer zu deanonymisieren. Unser System erkennt, wenn ein VPN im Einsatz ist, und meldet dies als Risikosignal. Wir speichern oder legen die durchgesickerte IP-Adresse niemals offen. Das Signal ist binär: „VPN mit WebRTC-Inkonsistenz erkannt“ oder „WebRTC-Verhalten konsistent mit direkter Verbindung“.
Dieser Ansatz gibt Betrugspräventionsteams die Informationen, die sie benötigen — dass ein Besucher seinen echten Standort verschleiert —, ohne die Privatsphäre des Einzelnen zu kompromittieren. Das Signal hilft, koordinierte Betrugsangriffe zu erkennen, bei denen mehrere Konten vom selben verborgenen Standort ausgehen.