Het redelijk nieuwe WebRTC-protocol dat door Chrome en Firefox worden ondersteunt verklapt het echte ip-adres van VPN- en proxy-gebruikers. Via dit protocol kan een audio/video connectie worden opgezet of bestanden worden verstuurd. De browsers omzeilen echter de VPN- en proxy-verbindingen.

Het idee achter een VPN- of proxy-verbinding is dat de identiteit van de computer en het echte ip-adres geheim blijven, zodat bijvoorbeeld werknemers van een bedrijf niet direct aangevallen kunnen worden maar dat deze allemaal via de VPN van het bedrijf het internet betreden. Hierdoor heeft het bedrijf maar één punt wat het goed moet beveiligen.

Het WebRTC-protocol biedt veel nieuwe innovatieve mogelijkheden binnen de browser, zoals het versturen van bestanden en het opzetten van een audio- of videostream. Helaas maakt het hiervoor een directe connectie met de webserver en omzeilt het de VPN- en proxy-verbinding. Hierdoor kan een kwaadwillende website kinderlijk eenvoudig met een stukje javascript het werkelijke ip-adres van de gebruiker achterhalen.

De enige manier om dit te voorkomen is door WebRTC uit te schakelen in beide browsers. Dat kan in Firefox via about:config en voor Chrome is inmiddels een extensie beschikbaar. Zowel de desktop-versie van Chrome en Firefox is gevoelig als de Android-versie van Chrome.

Veel werknemers van bedrijven zullen gevoelig zijn voor deze fout in de browsers. Voor bedrijven die een VPN-verbinding gebruiken in een router om een compleet filiaal om te routen is er geen probleem. Computers zijn alleen gevoelig als de VPN-verbinding lokaal is geregeld.

Google en Mozilla hebben nog niet gereageerd op deze publicatie. Hopelijk komen beide bedrijven snel met een update om het probleem op te lossen.