Een feature binnen WebRTC controleert het IP-adres van de persoon die contact maakt, maar browsercode achterhaalt ondertussen naast een VPN-adres ook het lokale IP-adres en het IP-adres dat door de provider wordt afgegeven. Aanvallers kunnen dezelfde JavaScript-code uit laten voeren door browsers om gebruikers die achter een VPN schuilgaan te onthullen.

Beschermen tegen gluurders

Het issue lijkt zich alleen voor te doen op Windows-systemen die gebruikmaken van Firefox of Chrome. Browsers als Internet Explorer en Safari ondersteunen WebRTC niet en zijn niet kwetsbaar. Ook mensen met een VPN-router hoeven zich ook geen zorgen te maken, omdat deze de VPN-tunnel direct uitvoert. Een malafide script kan devices niet bereiken en deze kwetsbaarheid daarom niet benutten.

Het slechte nieuws is dat een plug-in als Ghostery hier niets tegen begint, maar het goede nieuws is dat Chrome en FF-gebruikers op Windows-systemen de gewraakte request kunnen blokkeren met een extensie. In Firefox bijvoorbeeld met Noscript en in Chrome met Scriptsafe.