vpn对安全性很好，但许多人使用vpn的一个重要原因是屏蔽或更改他们的IP地址。这使您可以绕过基于位置的内容限制，或者检查提供商是否正在限制您的连接。不幸的是，一个新的安全漏洞可以向窥探者泄露你的真实IP地址，即使你使用的是VPN，而且很容易被利用。下面是它的工作原理，以及你能做些什么。

这是什么？我的数据有风险吗？

让我们后退一点。虚拟专用网络（VPN）对加密数据和提高安全性很有帮助，但也有助于隐藏IP地址。您的IP地址由您的服务提供商分配给您的internet连接，它可以显示您的服务提供商是谁以及（通常）您所在的位置。如果您曾经访问过YouTube并看到“抱歉，此视频在您的国家/地区不可用”，或者尝试注册新服务却发现您的国家/地区不受支持，您的IP地址就是他们知道的。

许多人特别使用VPN来绕过这些位置限制。当您登录VPN时，通常可以选择“退出服务器”，或者VPN将“假装”您实际所在的位置。通常这足以说服你所在的国家的服务。

然而，最近发现的一个安全漏洞允许远程站点利用WebRTC（Web实时通信，大多数浏览器内置的一种功能）来显示用户的真实IP地址，即使他们连接到VPN。据我们所知，网站还没有利用这一缺陷，但考虑到Hulu、Spotify、Netflix等服务正在采取措施识别并锁定VPN用户，因此假设他们会启动VPN并非易事。

只需几行代码就可以删除您使用VPN时获得的位置保护，并找出您的实际位置以及您的internet服务提供商的真实身份（然后他们可以将您的地址与您的具体身份联系起来）。虽然该漏洞目前主要是基于浏览器的，任何可以呈现网页（并使用WebRTC）的应用程序都会受到影响，这意味着任何想要通过VPN查看您的真实位置和真实身份的人都可以看到您。广告商、数据代理和**可以使用它来窥视您的VPN，找出您的连接真正来自何处。如果你使用像BitTorrent这样的服务，有一个像Roku这样的机顶盒，或者只是通过一个在你的国家不可用的网站（或者你是一个侨民并且住在国外）在你的电脑上播放音乐或电影，你使用的应用程序和服务可能会突然停止工作。

如何检查我的vpn是否受到影响？

这个缺陷是由GitHub的开发人员danielroesler记录的。Roesler解释了该过程的工作原理：

Firefox和Chrome已经实现了WebRTC，允许发出STUN服务器的请求，这些请求将返回用户的本地和公共IP地址。这些请求结果可用于javascript，因此您现在可以用javascript获得用户的本地和公共IP地址。这个演示就是一个例子。

此外，这些STUN请求是在正常的XMLHttpRequest过程之外发出的，因此它们在开发人员控制台中不可见，也不能被AdBlockPlus或Ghostery之类的插件阻止。这样，如果广告客户使用通配符域设置STUN服务器，就可以在线跟踪这些类型的请求。

要查看您的VPN是否受到影响：

1. 访问一个网站，如什么是我的IP地址，并记下您的实际ISP提供的IP地址。
2. 登录到您的VPN，选择另一个国家/地区的出口服务器（或使用您喜欢的出口服务器），并验证您是否已连接。
3. 返回到什么是我的IP地址并再次检查你的IP地址。你应该看到一个新的地址，一个与你的VPN和你选择的国家相对应的地址。
4. 访问Roseler的WebRTC测试页面并注意页面上显示的IP地址。

如果这两个工具都显示了您的VPN的IP地址，那么您就没有问题了。但是，如果What Is My IP Address显示您的VPN，WebRTC测试显示您的正常IP地址，则您的浏览器正在向世界泄露您的ISP提供的地址。

当TorrentFreak与VPN提供商谈论这个问题时，包括我们最喜欢的私有互联网接入，他们指出他们可以复制这个问题，但他们不确定如何阻止他们端的漏洞。由于IP检查直接在用户和他们所连接的站点之间进行，因此很难阻止。即便如此，他们还是发表了一篇博文，警告用户这个问题。TorGuard，另一个我们最喜欢的提供商，也向他们的用户发出了警告。这些警告还说，这个问题似乎只会影响Windows用户，但不一定是这样许多评论（和我们自己的测试）指出，根据您的VPN和它的配置，您的IP地址可能会泄漏，即使您使用Mac或Linux系统。

我怎样才能保护自己？

幸运的是，您不必等待VPN提供商在其端解决问题以保护您自己。现在您可以做很多事情，其中大多数都很简单，只需在浏览器中安装插件或禁用WebRTC即可。

简单方法：在浏览器中禁用webrtc

Chrome、Firefox和Opera（以及基于它们的浏览器）通常默认启用WebRTC。Safari和internetexplorer没有，因此也不会受到影响（除非您特别启用了WebRTC）。无论哪种方式，如果上面的测试在您的浏览器中工作，您都会受到影响。您可以随时切换到未启用WebRTC的浏览器，但由于我们大多数人都喜欢所使用的浏览器，因此以下是操作方法：

• Chrome和Opera：从Chrome网络商店安装ScriptSafe扩展。这太过分了，但会在浏览器中禁用WebRTC。Opera用户也可以使用这个附加组件，您只需先跳过一些限制。
• 火狐：你有两个选择。您可以从Mozilla加载项安装Disable-WebRTC加载项（h/t to@YourAnonNews for the link），或者通过打开选项卡并转到about:config“在地址栏。查找并将“media.peerconnection.enabled”设置设置为false(您还可以安装NoScript，它与ScriptSafe非常相似，但正如我们所提到的，它可能太过杀伤力了。）

虽然Roeseler指出隐私保护的浏览器扩展，如AdBlock、uBlock、Ghostery和Disconnect，并不能阻止这种行为，但这些方法肯定能起到作用。我们已经测试了他们，以确保他们的工作，并留意您最喜爱的广告拦截器或隐私插件可能会更新阻止WebRTC在不久的将来。

我们应该注意，禁用WebRTC可能会破坏一些webapps和服务。基于浏览器的应用程序使用你的麦克风和摄像头（如一些聊天网站或谷歌Hangouts），或自动知道你的位置（如食品配送网站），将停止工作，直到你重新启用它。

更好的方法：在路由器上配置vpn

更新：我们已经就这个问题与安全社区的许多人进行了讨论，在这些讨论之后，我们不确定在路由器级别配置VPN是否比在浏览器上阻止WebRTC更有效（或者更确切地说，非常有效）。尽管出于以下几个原因（概述如下），我们仍然建议您在路由器级别设置VPN，但就这个问题而言，现在，我们建议您使用上面提到的浏览器加载项之一，同时我们会对根本原因和surefire补救措施进行更多的研究。

如果你想要一个更可靠的方法来保护自己，除了安装附加组件和每次安装或更新时对浏览器进行调整之外，还有一个更持久的方法。在路由器上运行VPN，而不是直接在计算机上运行。

这种方法有很多好处。首先，它保护您家庭网络上的所有设备，即使它们不易受到此特定缺陷的攻击。它还为您的所有设备（如智能**、平板电脑、机顶盒和智能设备）提供了与VPN为桌面提供的相同的保护和加密。

不过，有一些警告。首先，如果你是那种喜欢经常更换出口服务器的人（例如，有一天你想像在日本、冰岛和美国一样浏览服务器），这意味着每次你想切换位置时，你都必须调整路由器的设置。类似地，如果你只是有时需要连接，而不是像你工作时使用VPN而不是流式传输Netflix那样的其他人，那么每次需要切换时，你都需要在路由器上启用或禁用VPN。这个过程可能简单也可能复杂，这取决于您的路由器和VPN。

许多VPN服务提供商建议您在路由器级别设置VPN。有些公司甚至**预先配置好使用其服务的特定路由器，但很可能您可以使用现有路由器（只要它不是由您的互联网服务提供商提供的）。登录路由器的管理页面，检查“安全”或“连接”选项。根据您的型号，您将看到一个VPN部分，您可以在其中键入您要连接的VPN提供商的名称、他们的服务器主机名以及您的用户名和密码。一旦启用，您的所有流量都将被加密。

如果你看不见，一切都不会失去。与您的VPN供应商，让他们知道你有什么类型的路由器。他们可能会指导你完成整个过程。如果没有，请查看您的路由器是否受DD-WRT（此处搜索支持的设备）、open WRT（此处查看支持的设备）或Tomato（此处查看支持的设备）等开源路由器固件支持。我们之前已经向您展示了如何安装和设置DD-WRT以及配置Tomato，所以如果您是新手，请从我们的指南开始。所有这些定制固件将允许您在路由器级别设置VPN。

这个漏洞很严重，但从好的方面来看，它很容易被缓解。如果有的话，这是一个提醒永远不要把你的隐私视为理所当然，即使你使用所有正确的工具来保护它。当我们谈到如何保护自己免受DNS泄露时，我们提出了相同的观点：盲目地相信隐私工具，因为它说正确的事情是个坏主意。信任，但要核实，把你的隐私和安全掌握在自己手中。

标题照片使用尼莫。其他照片由詹姆斯李，保罗约瑟夫，和沃尔特斯通伯纳。