Wyciek WebRTC: Jak ujawnia Twój prawdziwy adres IP
Twoja sieć VPN jest włączona. Węzeł wyjściowy wskazuje, że jesteś w Zurychu. Twój portfel jest anonimowy. A potem jedna funkcja wbudowana w Twoją przeglądarkę i tak dyskretnie ujawnia stronie internetowej Twój prawdziwy adres IP – ten powiązany z Twoim domem i Twoim imieniem. Ta funkcja to WebRTC, a luka, którą otwiera, nazywa się wyciekiem WebRTC.
Dla większości osób jest to irytujące z punktu widzenia prywatności. Dla każdego posiadacza kryptowalut jest to pierwsze ogniwo w łańcuchu, który kończy się tym, że obcy dowie się, który portfel należy do którego domu. Ten przewodnik omawia resztę tego łańcucha: czym jest wyciek WebRTC, jak przedostaje się przez VPN, jak go wykryć i jak go zablokować w każdej przeglądarce. I dlaczego o wiele ważniejsze jest to, gdy Twoja przeglądarka ma kontakt z portfelem.
Czym jest wyciek WebRTC i dlaczego występuje
WebRTC to skrót od Web Real-Time Communication (Komunikacja w Czasie Rzeczywistym w Sieci). Mówiąc prościej, to narzędzie, które umożliwia przeglądarkom prowadzenie rozmów wideo, czatów głosowych i przesyłanie plików bez użycia wtyczek. Jest ono dostępne we wszystkich popularnych przeglądarkach od około 2011 roku. I tu pojawia się problem. Aby połączyć dwie osoby bezpośrednio, każda ze stron musi poznać adres IP drugiej. To nie błąd. To cała praca.
Problem w tym, że każda strona internetowa może to wywołać. Strona otwiera połączenie WebRTC w tle. Odczytuje adresy IP oferowane przez przeglądarkę. Bez pytania o zgodę. Bez widocznego śladu. Zrób to za pośrednictwem sieci VPN, zobacz, jak Twój prawdziwy adres i tak się pojawi, a otrzymasz wyciek WebRTC. Nic nowego. Deweloper Daniel Roesler opublikował działający prototyp w styczniu 2015 roku, pobierając prawdziwe adresy IP bezpośrednio z przeglądarek użytkowników sieci VPN. Dziesięć lat później mechanizm ten praktycznie nie drgnął.
To, co czyni ten przypadek tak nieprzyjemnym, to jego cisza. Żadnego wyskakującego okienka. Żadnego monitu o zgodę. Nic na pasku adresu. Żądanie nigdy nie pojawia się w logu sieciowym, który przeciętny użytkownik mógłby sprawdzić, a blokery reklam przepuszczają je, ponieważ dla przeglądarki wygląda to jak zwykła konfiguracja WebRTC, a nie tracker. Możesz więc korzystać z płatnej sieci VPN, czystej przeglądarki i blokera reklam jednocześnie, a mimo to podawać swój prawdziwy adres pierwszej stronie, która o niego poprosi. Niewidoczny i rutynowy: właśnie dlatego wyciek przetrwał dziesięć lat.
Jak działa wyciek: STUN, NAT i Twój adres IP
Aby zrozumieć, dlaczego sieć VPN nie chroni automatycznie przed wyciekiem danych WebRTC, warto przyjrzeć się temu, co przeglądarka tak naprawdę robi „pod maską”.
STUN i ICE, mechanizm
Większość urządzeń znajduje się za routerem, który wykonuje translację adresów sieciowych (NAT), więc Twój komputer nie zna swojego adresu publicznego. Aby go znaleźć, WebRTC korzysta z modułu pomocniczego zwanego serwerem STUN. Przeglądarka zadaje serwerowi STUN proste pytanie: „Skąd siedzisz, z jakiego adresu mnie widzisz?”. Serwer odpowiada, podając Twój publiczny adres IP. WebRTC gromadzi kilka z tych odpowiedzi, zwanych kandydatami ICE, i tworzy ich listę, aby użytkownik mógł wybrać trasę. Podsłuchująca strona internetowa po prostu odczytuje tę listę. Koniec gry.
Dlaczego to takie ważne? Ponieważ cała wymiana danych STUN działa w JavaScript, który może uruchomić każda strona. Bez okna dialogowego, takiego jak w przypadku kamery czy lokalizacji. Skrypt otwiera połączenie peer-to-peer. Przechwytuje kandydatów ICE wygenerowanych przez przeglądarkę. Odczytuje adresy z listy. Wszystko w ułamku sekundy i przeglądarka nie widzi niczego podejrzanego. Po prostu wykonuje zadanie, do którego WebRTC został stworzony.
Publiczny adres IP kontra lokalny adres IP
WebRTC może przekazywać dwa różne adresy, a każdy z nich ujawnia inne informacje. Twój publiczny adres IP wskazuje na Twoją przybliżoną lokalizację i dostawcę internetu. Twój lokalny adres IP — na przykład 192.168.1.7 — po prostu odwzorowuje sieć w Twoim domu lub biurze. Żaden z nich nie należy do przypadkowej strony internetowej. Ale to publiczny adres IP powinien Cię martwić, ponieważ prowadzi z powrotem do realnego świata: miasta, dostawcy, a w końcu do drzwi.
Dlaczego VPN tego nie zatrzymuje
Sieć VPN przekierowuje normalny ruch. Problem polega na tym, że żądanie STUN może wydostać się poza tunel, dotrzeć bezpośrednio do serwera STUN i wrócić z prawdziwym publicznym adresem IP. Przeglądarki częściowo załatały ten problem w latach 2019 i 2020, zamieniając lokalny adres IP na zaszyfrowaną nazwę hosta mDNS. To pomocne, ale ukrywa jedynie lokalnego kandydata. Publiczny adres IP ze STUN nadal może zostać ujawniony. Co gorsza, maskowanie często znika w momencie, gdy strona uzyskuje uprawnienia do mikrofonu lub kamery. W ten sposób wyciek danych utrzymuje się dokładnie tam, gdzie większość ludzi zakłada, że są bezpieczni.
Jak prawidłowo przeprowadzić test szczelności WebRTC
Sprawdzenie zajmie około minuty i nie musisz nikomu wierzyć na słowo.
Zacznij od wyłączenia VPN i zanotuj publiczny adres IP widoczny na Twoim połączeniu. Następnie włącz VPN i otwórz stronę testu szczelności WebRTC, np. browserleaks.com/webrtc lub ipleak.net. Porównaj. Jeśli VPN działa prawidłowo i nie ma wycieku IP, powinieneś zobaczyć tylko adres VPN. Jeśli numer z kroku pierwszego pojawi się gdziekolwiek na stronie, wyciek został wykryty. Aby uzyskać pełniejszy obraz wszystkiego, co ujawnia Twoja przeglądarka, ta sama logika ma zastosowanie do szerszego zestawu testów omówionych w naszym poradniku BrowserLeaks.
Kilka rzeczy może zaskoczyć użytkowników podczas sprawdzania wycieków WebRTC. Możesz zobaczyć lokalny adres IP, który wygląda jak zaszyfrowany ciąg znaków kończący się na .local. Nie panikuj; to maskowanie mDNS działa, a nie wyciek. Liczy się adres publiczny. Przetestuj w tej samej przeglądarce i profilu, których używasz do wszelkich wrażliwych danych. Ustawienia i rozszerzenia nie są do nich przenoszone. I uruchamiaj ponownie po każdej aktualizacji przeglądarki, ponieważ poprawka może dyskretnie przywrócić te ustawienia.
Które przeglądarki ujawniają Twój adres IP, a które nie
Nie wszystkie przeglądarki radzą sobie z wyciekiem danych WebRTC w ten sam sposób, a różnice te mają znaczenie ze względu na podział rynku.
| Przeglądarka | Ryzyko wycieku WebRTC | Wbudowana ochrona |
|---|---|---|
| Chrom | Wysoki | Brak natywnego; wymagane rozszerzenie |
| Firefox | Średnio-wysoki | Domyślnie wycieka publiczny adres IP, ale łatwo go wyłączyć |
| Odważny | Niski | Ochrona odcisku palca i WebRTC włączona domyślnie |
| Przeglądarka Tor | Nic | RTCPeerConnection całkowicie wyłączony |
Chrome leży u źródła problemu, głównie ze względu na swój zasięg. W maju 2026 roku posiadał około 70% globalnego rynku przeglądarek i nie posiada wbudowanego przełącznika, który uniemożliwiałby WebRTC ujawnianie adresu IP. Firefox, z około 2% udziałem, również domyślnie ujawnia publiczny adres IP, choć przynajmniej pozwala wyłączyć tę funkcję w jednym ustawieniu. Brave to jasny punkt. We wrześniu 2025 roku przekroczył 101 milionów aktywnych użytkowników miesięcznie i jest jedyną popularną przeglądarką Chromium, która domyślnie włącza ochronę WebRTC. A co z Torem? Tor omija ten problem, całkowicie wyłączając połączenie peer-to-peer, co właśnie dlatego badacze prywatności wciąż kierują w jego stronę nowicjuszy.
Jak wyłączyć WebRTC i zapobiec wyciekom
Dwa sposoby na wyłączenie tej funkcji. Całkowicie wyłącz WebRTC lub włącz go tak, aby wyświetlał tylko wybrany adres. Wybór zależy od tego, czy faktycznie wykonujesz połączenia wideo w przeglądarce. Oto praktyczna wersja, dla każdej przeglądarki osobno.
| Przeglądarka | Jak wyłączyć lub ograniczyć | Efekt |
|---|---|---|
| Firefox | about:config, ustaw media.peerconnection.enabled na false | Całkowite wyłączenie |
| Chrom | Zainstaluj WebRTC Network Limiter lub WebRTC Control | Ogranicza narażenie |
| Krawędź | edge://flags, włącz „Anonimizuj lokalne adresy IP” | Częściowy |
| Safari | Rozwijaj menu, funkcje eksperymentalne, ogranicz WebRTC | Częściowy |
Chrome i Edge
Chrome jest nieco dziwaczny. W menu nie ma wyłącznika, więc do blokowania WebRTC potrzebne jest rozszerzenie. Google publikuje własne rozszerzenie, WebRTC Network Limiter. Blokuje ono ryzykowne adresy bez blokowania połączeń. Chcesz czegoś bardziej oczywistego? WebRTC Control wyłącza to jednym kliknięciem. Microsoft Edge działa na tym samym silniku Chromium, więc te rozszerzenia również tam działają, ale ukrywa również przydatną flagę edge://flags, która anonimizuje Twój lokalny adres IP.
Firefox
Firefox ułatwia sprawę. Wpisz about:config w pasku adresu, kliknij za przerażającym ostrzeżeniem, wyszukaj media.peerconnection.enabled i zmień ustawienie na false. To wszystko. WebRTC jest wyłączone. Problem w tym, że połączenia wideo i głosowe w przeglądarce są niedostępne, dopóki nie włączysz go ponownie.
Safari i Opera
Safari domyślnie oferuje bezpieczniejsze rozwiązanie, a funkcję WebRTC można dodatkowo usprawnić w menu „Rozwój” w sekcji „Funkcje eksperymentalne”. Opera korzysta z Chromium, więc korzysta z tych samych rozszerzeń, które działają w Chrome.
Korzystanie z VPN i kompromis
Następnie jest ścieżka VPN. Jeśli używasz VPN z prawdziwą ochroną przed wyciekiem, przesyła ona ruch WebRTC przez własny tunel, więc serwer STUN widzi tylko adres VPN. Najczystsza opcja, ponieważ Twoje połączenia nadal działają, a godny zaufania serwer proxy może w ten sam sposób zapobiegać wyciekom IP. Haczyk tkwi w zaufaniu. Nie każda sieć VPN faktycznie to robi. Kiedy VoidSec przetestował 70 dostawców VPN w 2018 roku , 16 z nich nadal ujawniało prawdziwy adres IP przez WebRTC. Około 23%. Dobrzy dostawcy naprawili to od tego czasu, ale lekcja jest aktualna: testuj, nie zakładaj. Chcesz dokładnej ścieżki? Wyłącz WebRTC całkowicie. Pamiętaj tylko, że psuje to wszystko, co od niego zależy.
Dlaczego wyciek WebRTC zagraża posiadaczom kryptowalut
Dla użytkownika kryptowaluty ujawniony adres IP nie jest kwestią prywatności. To szew między życiem w sieci a życiem fizycznym. A ostatnio ten szew stał się niebezpieczny.
Łańcuch zabójstw od adresu IP do portfela
Adresy blockchain są pseudonimowe, a nie anonimowe. Każda transakcja, którą kiedykolwiek dokonałeś, jest widoczna publicznie. Jedyne, co powstrzymuje ją przed skierowaniem jej do Ciebie, to brak etykiety: nazwy, lokalizacji. Tym identyfikatorem jest adres IP. Naukowcy udowodnili, że to powiązanie jest praktyczne ponad dekadę temu. W badaniu z 2014 roku Alexandre Biryukov i jego współpracownicy wykorzystali kilka dobrze rozmieszczonych węzłów, aby powiązać pseudonimy Bitcoin z adresami IP, które jako pierwsze rozgłaszały ich transakcje. Wyciek danych z WebRTC udostępnia atakującemu to samo połączenie za darmo. Otwórz eksplorator bloków lub zdecentralizowaną giełdę (DEX), gdy Twój prawdziwy adres IP jest ujawniony, a jedna strona może przykleić portfel, który obserwujesz, do Twojego domu i Twojego dostawcy.
A zagrożenie jest większe, ponieważ wyciek nie musi zaskoczyć Cię w trakcie transakcji. Wystarczy, że nastąpi raz, na dowolnej stronie, na której uruchomiony jest wrogi skrypt, podczas sprawdzania salda lub przeglądania platformy handlowej. A potem? Adres IP jest porównywany z rekordami dostawcy usług internetowych, profilami brokerów danych, starym wyciekiem. Prędzej czy później nazwa się przykleja. Portfel był od początku publiczny. Wyciek po prostu przekazał etykietę.
Od deanonimizacji do pukania do drzwi
Kiedyś to było abstrakcyjne zmartwienie. Teraz już nie. Tak zwane ataki typu „whistle attacks”, w których posiadacze kluczy są okradani lub porywani, wzrosły o około 75% w 2025 roku, z 72 potwierdzonymi incydentami i stratą co najmniej 41 milionów dolarów, według danych z monitoringu branżowego . Schemat praktycznie się nie zmienia: atakujący łączą widoczne zasoby na łańcuchu z tożsamością poza łańcuchem, aby przypisać prawdziwą osobę do prawdziwego adresu. Twój adres IP to jeden z najczystszych sposobów na zdobycie tej drugiej połowy.
Odwróćmy to i pomyślmy jak atakujący. Oni już widzą, które portfele przechowują prawdziwe pieniądze; ta część jest publiczna. Brakuje im mapy od adresu do drzwi wejściowych. Adres IP zawęża wyszukiwanie z całego internetu do miasta, dostawcy usług internetowych, często pojedynczej dzielnicy. Reszta to zwykła, rutynowa robota. Dla przeciętnej przeglądarki taki wyciek to jak wzruszenie ramion. Dla kogoś, kto ma siedmiocyfrową wartość w łańcuchu, to granica między pseudonimem a oznaczonym celem. Ta luka to powód, dla którego użytkownicy kryptowalut powinni zgłosić wyciek WebRTC w ramach bezpieczeństwa, a nie preferencji prywatności online.
Twój adres IP jest danymi osobowymi
Istnieje również aspekt prawny. W 2016 roku Europejski Trybunał Sprawiedliwości orzekł w sprawie Breyer, że nawet dynamiczny adres IP stanowi dane osobowe, o ile ktoś mógłby go w uzasadniony sposób wykorzystać do ponownej identyfikacji użytkownika. Zgodnie z tą logiką, strona internetowa, która po cichu pobiera adres IP za pośrednictwem WebRTC, przetwarza dane osobowe bez jego zgody. To nie zatyka wycieku. Ale pokazuje, jak poważnie organy regulacyjne traktują to, co przeglądarka udostępnia za darmo.
Zamknij wyciek zanim się otworzy
Wyciek WebRTC jest cichy, nie prosi o pozwolenie, a sama sieć VPN Cię przed nim nie uchroni. Dlatego stosuj odpowiednie zabezpieczenia. Wybierz przeglądarkę, która domyślnie Cię chroni, lub wyłącz WebRTC, jeśli nie chroni. Uruchom sieć VPN, która faktycznie przejdzie test wycieku, aby ukryć swój adres IP. Sprawdzaj ponownie po każdej aktualizacji. Dla każdego, kto przelewa środki, cel jest wąski i warto to powiedzieć wprost: nie dopuść do powstania powiązania między Twoim portfelem a Twoim adresem IP, ponieważ raz utworzonego nie da się cofnąć. Kiedy więc ostatnio sprawdzałeś, co tak naprawdę wycieka z Twojej przeglądarki?
