Примерно 20% VPN-сервисов допускают утечки IP-адреса клиента из-за ошибки, связанной с технологией WebRTC и известной с января 2015 года. WebRTC (Web Real Time Communication) — открытый стандарт мультимедийной связи, позволяющий осуществлять аудио- и видеозвонки из браузера. Браузеры, у которых включен WebRTC по умолчанию:
- Mozilla Firefox
- Google Chrome
- Google Chrome для Android
- Samsung Internet
- Opera
- Vivaldi
Итальянский исследователь Паоло Стагно, под псевдонимом VoidSec, проверил 83 VPN-сервиса на наличие утечки IP-адресов посредством WebRTC. Во время исследования реальные IP-адреса раскрыли 16 VPN-сервисов:
- BolehVPN (только для США)
- ChillGlobal (плагин Chrome и Firefox)
- Glype (зависит от конфигурации)
- hide-me.org
- Hola! VPN
- Hola! VPN (расширение Chrome)
- HTTP PROXY
- IBVPN Browser Addon
- PHP Proxy
- phx.piratebayproxy. co
- psiphon3
- PureVPN
- SmartHide Proxy (зависит от конфигурации)
- SOCKS Proxy (на браузерах с поддержкой веб-RTC)
- SumRando Web Proxy
- TOR as PROXY (на браузерах с включенным веб-RTC)
- Windscribe
Исследователь опубликовал результаты в таблице Google Docs. Список аудита является неполным, поскольку Стагно не располагал финансовыми ресурсами для тестирования всех коммерческих VPN-сервисов. Теперь Стагно просит сообщество проверить свои собственные VPN и отправить ему результаты. Для этого он создал веб-страницу, которую пользователи должны посетить в своем браузере с включенным VPN-клиентом. Код, запущенный на этой странице, также доступен на GitHub, если пользователи захотят протестировать утечку локально.