تسريب WebRTC: كيف يكشف عنوان IP الحقيقي الخاص بك
شبكة VPN الخاصة بك مُفعّلة. يُشير خادم الخروج إلى أنك في زيورخ. تشعر بأن محفظتك مجهولة الهوية. ثم، تُفصح ميزة مُدمجة في متصفحك، دون علمك، لموقع ويب عن عنوان IP الحقيقي الخاص بك - ذلك العنوان المرتبط بمنزلك واسمك. هذه الميزة هي WebRTC، والثغرة التي تُحدثها تُسمى تسريب WebRTC.
بالنسبة لمعظم الناس، يُعدّ هذا الأمر انتهاكًا للخصوصية. أما بالنسبة لأي شخص يمتلك عملات رقمية، فهو الحلقة الأولى في سلسلة تنتهي بمعرفة شخص غريب أي محفظة تنتمي لأي منزل. يشرح هذا الدليل بقية هذه السلسلة: ما هو تسريب WebRTC، وكيف يتسلل عبر VPN، وكيفية اختباره، وكيفية إيقافه في أي متصفح. ولماذا يصبح الأمر أكثر أهمية بمجرد اتصال متصفحك بمحفظة.
ما هو تسريب WebRTC ولماذا يحدث؟
WebRTC اختصار لـ Web Real-Time Communication (الاتصال الفوري عبر الويب). ببساطة، هي البنية التحتية التي تُمكّن المتصفحات من إجراء مكالمات الفيديو، والمحادثات الصوتية، ونقل الملفات دون الحاجة إلى أي إضافات، وقد تم تضمينها في جميع المتصفحات الرئيسية منذ عام 2011 تقريبًا. وهنا تكمن المشكلة. لربط شخصين مباشرةً، يجب على كل طرف معرفة عنوان IP الخاص بالطرف الآخر. هذا ليس عيبًا برمجيًا، بل هو جوهر العملية.
يكمن الخطر في أن أي موقع ويب قادر على استغلال هذه الثغرة. إذ تقوم صفحة ما بفتح اتصال WebRTC في الخلفية، وتقرأ عناوين IP التي يعرضها متصفحك. لا يوجد أي طلب إذن، ولا أي علامة ظاهرة. إذا قمت بذلك عبر شبكة VPN، فسترى عنوانك الحقيقي يظهر على أي حال، وبذلك تكون قد تعرضت لتسريب WebRTC. ليس هذا بالأمر الجديد. فقد نشر المطور دانيال روسلر نموذجًا عمليًا في يناير 2015، يستخرج عناوين IP حقيقية مباشرة من متصفحات مستخدمي VPN. وبعد مرور عشر سنوات، لم يطرأ أي تغيير يُذكر على هذه الآلية.
ما يجعل هذا التسريب خطيرًا هو خفائه التام. لا نوافذ منبثقة، ولا طلبات إذن، ولا شيء في شريط العنوان. لا يظهر الطلب أبدًا في سجل الشبكة الذي قد يفكر المستخدم العادي في التحقق منه، وتتجاهله برامج حظر الإعلانات، لأنه يبدو للمتصفح كإعداد WebRTC عادي، وليس أداة تتبع. لذا يمكنك تشغيل VPN مدفوع، ومتصفح نظيف، وبرنامج حظر إعلانات في آن واحد، ومع ذلك تُدخل عنوانك الحقيقي لأول صفحة تطلبه. خفيّ وروتينيّ: هذا تحديدًا سبب بقاء هذا التسريب لعشر سنوات.
كيف يعمل التسريب: STUN وNAT وعنوان IP الخاص بك
لفهم سبب عدم قيام VPN بحمايتك تلقائيًا من تسريب WebRTC، من المفيد معرفة ما يفعله المتصفح فعليًا في الخلفية.
الصعق والتجميد، الآلية
معظم الأجهزة متصلة بشبكة توجيه (راوتر) تقوم بترجمة عناوين الشبكة (NAT)، لذا لا يعرف جهازك عنوان IP العام الخاص به. للعثور عليه، يستخدم WebRTC خادمًا مساعدًا يُسمى خادم STUN. يسأل المتصفح خادم STUN سؤالًا بسيطًا: "من موقعك، ما هو عنوان IP الذي تراني قادمًا منه؟" يجيب الخادم بعنوان IP العام الخاص بك. يجمع WebRTC عدة إجابات من هذا النوع، تُسمى عناوين IP المرشحة (ICE candidates)، ويعرضها في قائمة ليتمكن أي جهاز آخر من اختيار مسار. يقرأ موقع ويب متطفل هذه القائمة ببساطة. انتهى الأمر.
لماذا يُعدّ هذا الأمر مهمًا؟ لأنّ عملية تبادل بيانات STUN بأكملها تتمّ باستخدام جافا سكريبت، والتي يُمكن لأيّ صفحة إرسالها. لا حاجة إلى مربع حوار، كما هو الحال مع الكاميرا أو الموقع. يقوم البرنامج النصي بفتح اتصال نظير، ثمّ يستخرج بيانات ICE التي يُنتجها المتصفح، ويقرأ العناوين من القائمة. كلّ ذلك في جزء من الثانية، دون أن يلاحظ المتصفح أيّ خطأ. لقد أدّى البرنامج وظيفته التي صُمّمت تقنية WebRTC لأجلها.
عنوان IP العام مقابل عنوان IP المحلي
يمكن لتقنية WebRTC أن تُرسل عنوانين مختلفين، وكل منهما يكشف معلومات مختلفة. يشير عنوان IP العام إلى موقعك التقريبي ومزود خدمة الإنترنت الخاص بك. أما عنوان IP المحلي - مثل 192.168.1.7 - فيُحدد فقط الشبكة داخل منزلك أو مكتبك. لا ينبغي لأي موقع ويب عشوائي أن يُشارك أيًا منهما. لكن العنوان العام هو ما يجب أن يُثير قلقك، لأنه يُشير إلى العالم الحقيقي: مدينة، مزود خدمة، وفي النهاية عنوانك.
لماذا لا يمنع استخدام VPN ذلك؟
تقوم شبكة VPN بإعادة توجيه حركة مرور البيانات العادية. تكمن المشكلة في أن طلب STUN قد يتسرب خارج هذا النفق، ويصل مباشرةً إلى خادم STUN، ويعود حاملاً عنوان IP العام الحقيقي الخاص بك. قامت المتصفحات بتصحيح جزء من هذه الثغرة في عامي 2019 و2020، باستبدال عنوان IP المحلي باسم مضيف mDNS مُشفر. هذا مفيد، ولكنه يُخفي فقط عنوان IP المحلي المُحتمل. لا يزال بإمكان عنوان IP العام من STUN الوصول إلى البيانات. والأسوأ من ذلك، أن عملية الإخفاء غالبًا ما تفشل بمجرد حصول الموقع على إذن الوصول إلى الميكروفون أو الكاميرا. لذا، يبقى التسريب قائمًا في المكان الذي يعتقد معظم المستخدمين أنهم في مأمن منه.
كيفية إجراء اختبار تسريب WebRTC بشكل صحيح
يستغرق التحقق حوالي دقيقة، ولا يتعين عليك تصديق أي شخص.
ابدأ بإيقاف تشغيل VPN، وسجّل عنوان IP العام الذي يظهر لاتصالك. ثم شغّل VPN وافتح صفحة اختبار تسريب WebRTC، مثل browserleaks.com/webrtc أو ipleak.net. قارن بينهما. إذا كان VPN يعمل بشكل صحيح ولم يكن هناك تسريب لعنوان IP، فسترى عنوان VPN فقط. إذا ظهر هذا الرقم من الخطوة الأولى في أي مكان على الصفحة، فقد وجدت التسريب. للحصول على صورة أشمل لكل ما يكشفه متصفحك، ينطبق المنطق نفسه على مجموعة الفحوصات الأوسع نطاقًا الموضحة في دليلنا حول BrowserLeaks.
قد يقع البعض في بعض الأخطاء عند فحص تسريبات WebRTC. قد يظهر عنوان IP محلي يبدو كسلسلة مشوشة تنتهي بـ .local. لا داعي للقلق، فهذا ناتج عن آلية إخفاء mDNS، وليس تسريبًا. العنوان المهم هو العنوان العام. اختبر باستخدام نفس المتصفح وملف التعريف الذي تستخدمه لأي بيانات حساسة. لن تنتقل الإعدادات والإضافات بين المتصفحات والملفات. أعد تشغيل الاختبار بعد كل تحديث للمتصفح، فقد يقوم التحديث بإعادة هذه الإعدادات إلى وضعها السابق دون علم المستخدم.
ما هي المتصفحات التي تكشف عنوان IP الخاص بك، وما هي المتصفحات التي لا تكشفه؟
لا تتعامل جميع المتصفحات مع تسريب WebRTC بنفس الطريقة، والاختلافات مهمة بسبب كيفية تقسيم السوق.
| متصفح | مخاطر تسريب WebRTC | حماية مدمجة |
|---|---|---|
| الكروم | عالي | لا يوجد إصدار أصلي؛ يحتاج إلى إضافة |
| فايرفوكس | متوسط إلى مرتفع | يُسرب عنوان IP العام افتراضيًا، ولكن من السهل تعطيله. |
| شجاع | قليل | حماية بصمة الإصبع وحماية WebRTC مفعلة افتراضيًا |
| متصفح تور | لا أحد | تم تعطيل اتصال RTCPeerConnection بالكامل |
يُعدّ متصفح كروم جوهر المشكلة، وذلك ببساطة بسبب انتشاره الواسع. فقد استحوذ على حوالي 70% من سوق المتصفحات العالمي حتى مايو 2026، وهو لا يأتي مزودًا بخيار مدمج لمنع WebRTC من كشف عنوان IP الخاص بك. أما فايرفوكس، الذي تبلغ حصته حوالي 2%، فيُسرّب عنوان IP العام افتراضيًا أيضًا، مع أنه على الأقل يُتيح لك تعطيل هذه الميزة من خلال إعداد واحد. يُعتبر متصفح بريف نقطة مضيئة، إذ تجاوز عدد مستخدميه النشطين شهريًا 101 مليون مستخدم في سبتمبر 2025، وهو المتصفح الرئيسي الوحيد المبني على كروميوم الذي يُفعّل حماية WebRTC تلقائيًا. أما متصفح تور، فيتجنب كل هذه المشاكل بتعطيل اتصال النظراء تمامًا، وهذا تحديدًا ما يدفع باحثي الخصوصية إلى توجيه المستخدمين الجدد نحوه.
كيفية تعطيل WebRTC ومنع التسريبات
هناك طريقتان لإيقاف هذه الخاصية. إما تعطيل WebRTC تمامًا، أو تقييده بحيث لا يرى إلا العنوان الذي تختاره. يعتمد اختيارك على ما إذا كنت تُجري مكالمات فيديو عبر متصفحك أم لا. إليك الطريقة العملية، متصفحًا تلو الآخر.
| متصفح | كيفية تعطيل أو تقييد | تأثير |
|---|---|---|
| فايرفوكس | في صفحة الإعدادات العامة، اضبط قيمة media.peerconnection.enabled على false | تعطيل كامل |
| الكروم | قم بتثبيت WebRTC Network Limiter أو WebRTC Control | يحد من التعرض |
| حافة | edge://flags، قم بتمكين "إخفاء عناوين IP المحلية" | جزئي |
| رحلة سفاري | تطوير القائمة، الميزات التجريبية، تقييد WebRTC | جزئي |
كروم وإيدج
يُعدّ متصفح كروم غريبًا بعض الشيء. لا يوجد زر إيقاف تشغيل مخفي في القوائم، لذا لحظر WebRTC، تحتاج إلى إضافة. تُصدر جوجل إضافتها الخاصة، WebRTC Network Limiter، التي تحجب العناوين الخطرة دون قطع مكالماتك. هل تريد حلاً أكثر وضوحًا؟ تُتيح لك إضافة WebRTC Control إيقاف التشغيل بنقرة واحدة. يعمل متصفح مايكروسوفت إيدج على نفس محرك كروميوم، لذا تعمل هذه الإضافات عليه أيضًا، ولكنه يُخفي أيضًا خيارًا مفيدًا على الرابط edge://flags يُخفي عنوان IP المحلي الخاص بك.
فايرفوكس
يُسهّل فايرفوكس الأمر. اكتب about:config في شريط العناوين، ثم تجاوز التحذير المخيف، وابحث عن media.peerconnection.enabled، وغيّر قيمته إلى false. هذا كل شيء. تم إيقاف WebRTC. لكن انتبه: ستتوقف مكالمات الفيديو والصوت داخل المتصفح حتى تُعيد تشغيله.
سفاري وأوبرا
يستخدم متصفح سفاري إعدادات أكثر أمانًا بشكل افتراضي، ويمكنك تشديد قيود WebRTC من قائمة "المطور" ضمن "الميزات التجريبية". أما متصفح أوبرا، فهو مبني على كروميوم، لذا فهو يعتمد على نفس الإضافات التي تعمل في كروم.
استخدام شبكة افتراضية خاصة (VPN)، والمفاضلة
ثمّة خيار استخدام شبكة VPN. إذا كنت تستخدم شبكة VPN مزودة بحماية حقيقية ضد تسريب البيانات، فإنها تُمرّر بيانات WebRTC عبر نفقها الخاص، وبالتالي لا يرى خادم STUN سوى عنوان VPN. هذا الخيار هو الأفضل، لأن مكالماتك تستمر بالعمل، ويمكن لخادم وكيل موثوق منع تسريب عناوين IP بنفس الطريقة. لكن المشكلة تكمن في الثقة. فليست كل شبكات VPN تُطبّق هذه الحماية. عندما اختبرت VoidSec سبعين مزود خدمة VPN في عام ٢٠١٨ ، تبيّن أن ١٦ منهم ما زالوا يُسرّبون عنوان IP الحقيقي عبر WebRTC، أي ما يُقارب ٢٣٪. وقد عالجت الشبكات الجيدة هذه المشكلة منذ ذلك الحين، لكن العبرة تبقى: اختبر، ولا تفترض. هل تريد الحل الأمثل؟ عطّل WebRTC تمامًا. لكن تذكّر أن ذلك سيؤثر على أي شيء يعتمد عليه.
لماذا يُهدد تسريب بيانات WebRTC حاملي العملات الرقمية؟
بالنسبة لمستخدمي العملات الرقمية، لا يُعدّ كشف عنوان IP مجرد هامش للخصوصية، بل هو بمثابة الوصلة الفاصلة بين حياتهم الرقمية وحياتهم الواقعية. وقد تحوّلت هذه الوصلة مؤخراً إلى خطر.
سلسلة القتل من عنوان IP إلى المحفظة
عناوين البلوك تشين مُستعارة، وليست مجهولة الهوية. كل معاملة أجريتها مُتاحة للجميع. الشيء الوحيد الذي يمنعها من أن تُشير إليك هو غياب المُعرّف: الاسم والموقع. عنوان IP هو هذا المُعرّف. وقد أثبت الباحثون جدوى هذا الربط منذ أكثر من عقد. في دراسة أُجريت عام ٢٠١٤ ، استخدم ألكسندر بيريوكوف وزملاؤه عددًا من العُقد المُختارة بعناية لربط أسماء البيتكوين المُستعارة بعناوين IP التي بثّت معاملاتها أولًا. يُتيح تسريب WebRTC للمُهاجم الحصول على نفس الاتصال مجانًا. افتح مُستكشف البلوك تشين أو منصة تداول لامركزية (DEX) بينما يكون عنوان IP الحقيقي الخاص بك مكشوفًا، وستتمكن صفحة واحدة من ربط المحفظة التي تُراقبها بمنزلك ومُزوّد خدمة الإنترنت الخاص بك.
ويتفاقم الخطر، لأن التسريب لا يحتاج إلى أن يفاجئك أثناء عملية شراء. يكفي أن يحدث مرة واحدة فقط، على أي صفحة تشغل برنامجًا خبيثًا، أثناء تفقدك لرصيدك أو تصفحك لأحد المتاجر. بعد ذلك؟ تتم مقارنة عنوان IP الخاص بك بسجلات مزود خدمة الإنترنت، وملفات تعريف وسطاء البيانات، واختراق سابق. عاجلاً أم آجلاً، يتم ربط اسمك بالموضوع. كانت المحفظة متاحة للعامة طوال الوقت، لكن التسريب كشف عن هويتها.
من كشف الهوية إلى طرق الباب
كان هذا الأمر في السابق مجرد هاجس نظري، لكنه لم يعد كذلك. فقد ارتفعت ما يُسمى بهجمات "المفتاح"، حيث يُسرق أو يُختطف حاملو العملات الرقمية للحصول على مفاتيحهم، بنحو 75% في عام 2025، مع 72 حادثة مؤكدة وسرقة ما لا يقل عن 41 مليون دولار، وفقًا لبيانات تتبع القطاع . ولا يكاد النمط يتغير: إذ يربط المهاجمون ثروة ظاهرة على سلسلة الكتل بهوية خارج السلسلة لربط شخص حقيقي بعنوان حقيقي. ويُعدّ عنوان IP الخاص بك من أدق الطرق لتحديد هوية هذا الشخص.
اقلب الطاولة وفكّر كالمهاجم. بإمكانهم بالفعل معرفة المحافظ التي تحتوي على أموال حقيقية؛ فهذا الجزء مُتاح للجميع. ما ينقصهم هو معرفة الموقع الجغرافي الدقيق. يُضيّق عنوان IP نطاق البحث من الإنترنت بأكمله إلى مدينة، أو مزود خدمة إنترنت، أو حتى حيّ سكني واحد في كثير من الأحيان. أما الباقي فهو مجرد بحث روتيني. بالنسبة لمتصفح عادي، لا يُثير تسريب كهذا أي قلق. أما بالنسبة لشخص يمتلك ملايين الدولارات على البلوك تشين، فهو الفرق بين اسم مستعار وهدف مُحدد. هذه الفجوة هي السبب الذي يدفع مستخدمي العملات الرقمية إلى الإبلاغ عن تسريب WebRTC تحت بند الأمن، وليس تفضيل الخصوصية على الإنترنت.
عنوان IP الخاص بك هو بيانات شخصية
هناك جانب قانوني أيضًا. ففي عام ٢٠١٦، قضت محكمة العدل الأوروبية في قضية بريير بأن حتى عنوان IP الديناميكي يُعدّ بيانات شخصية، طالما كان من الممكن استخدامه بشكل معقول لإعادة تحديد هويتك. وبناءً على هذا المنطق، فإن أي موقع يقوم بجمع عنوان IP الخاص بك سرًا عبر WebRTC يُعدّ معالجةً للبيانات الشخصية دون موافقتك. هذا لا يسد الثغرة، ولكنه يُظهر مدى جدية الجهات التنظيمية في التعامل مع البيانات التي يُقدّمها متصفحك مجانًا.
أغلق التسريب قبل أن ينفتح
تسريب WebRTC خفيّ، ولا يتطلب أي إذن، ولن يحميك منه استخدام VPN وحده. لذا، عزز دفاعاتك. اختر متصفحًا يوفر لك الحماية افتراضيًا، أو عطّل WebRTC في المتصفحات التي لا توفرها. شغّل VPN يجتاز اختبار التسريب لإخفاء عنوان IP الخاص بك. أعد الفحص بعد كل تحديث. بالنسبة لمن يحوّلون الأموال، الهدف واضح ومحدد: منع الربط بين محفظتك وعنوان IP الخاص بك نهائيًا، لأنه بمجرد حدوثه، لا يمكنك استعادته. متى كانت آخر مرة اختبرت فيها ما يُسرّبه متصفحك فعلاً؟
