Утечка WebRTC: как она раскрывает ваш реальный IP-адрес
Ваш VPN включен. Выходной узел показывает, что вы находитесь в Цюрихе. Ваш кошелек чувствует себя анонимным. И тут одна-единственная функция, встроенная в ваш браузер, незаметно сообщает веб-сайту ваш реальный IP-адрес — тот, который связан с вашим домом и вашим именем. Эта функция — WebRTC, и создаваемая ею уязвимость называется утечкой WebRTC.
Для большинства людей это просто нарушение конфиденциальности. Для любого, кто владеет криптовалютой, это первое звено в цепочке, которая заканчивается тем, что посторонний человек узнает, какой кошелек к какому владельцу принадлежит. В этом руководстве мы рассмотрим остальную часть этой цепочки: что такое утечка WebRTC, как она обходит VPN, как ее проверить и как отключить в каждом браузере. И почему это гораздо важнее в тот момент, когда ваш браузер взаимодействует с кошельком.
Что такое утечка WebRTC и почему она происходит?
WebRTC расшифровывается как Web Real-Time Communication (веб-коммуникация в реальном времени). Проще говоря, это механизм, позволяющий браузерам совершать видеозвонки, голосовые чаты и передавать файлы без каких-либо плагинов, и он присутствует во всех основных браузерах примерно с 2011 года. Вот тут-то и начинается самое интересное. Чтобы напрямую соединить двух человек, каждая сторона должна узнать IP-адрес другой. Это не ошибка. Это вся суть процесса.
Подвох в том, что любой веб-сайт может это инициировать. Страница в фоновом режиме устанавливает соединение WebRTC. Она считывает IP-адреса, которые предоставляет ваш браузер. Никакого запроса разрешения. Никакой видимой метки. Если вы сделаете это через VPN, и ваш реальный адрес все равно отобразится, вы получите утечку WebRTC. Ничего нового в этом нет. Разработчик Даниэль Рослер опубликовал рабочий прототип в январе 2015 года, извлекая реальные IP-адреса прямо из браузеров пользователей VPN. Десять лет спустя механизм практически не изменился.
Что делает эту утечку особенно неприятной, так это её незаметность. Никаких всплывающих окон. Никаких запросов на разрешение. Ничего в адресной строке. Запрос никогда не появляется в сетевом журнале, который обычный пользователь мог бы проверить, и блокировщики рекламы пропускают его, потому что для браузера это выглядит как обычная настройка WebRTC, а не как трекер. Таким образом, вы можете одновременно использовать платный VPN, чистый браузер и блокировщик рекламы, и всё равно передать свой реальный адрес первой же странице, которая его запросит. Незаметность и обыденность: именно поэтому утечка просуществовала десять лет.
Как работает утечка: STUN, NAT и ваш IP-адрес
Чтобы понять, почему VPN не защищает автоматически от утечки WebRTC, полезно посмотреть, что на самом деле делает браузер «под капотом».
Оглушение и лед: механизм
Большинство устройств находятся за маршрутизатором, который выполняет NAT (преобразование сетевых адресов), поэтому ваш компьютер не знает свой собственный публичный адрес. Чтобы его найти, WebRTC использует вспомогательный инструмент, называемый STUN-сервером. Браузер задает STUN-серверу простой вопрос: «С какого адреса, с которого вы видите мой адрес?» Сервер отвечает вашим публичным IP-адресом. WebRTC собирает несколько таких ответов, называемых ICE-кандидатами, и выводит их в список, чтобы участник сети мог выбрать маршрут. Сайт, осуществляющий слежку, просто читает этот список. Игра окончена.
Почему это важно? Потому что весь обмен STUN-сигналами происходит на JavaScript, который может запустить любая страница. Никаких диалоговых окон, как, например, при использовании камеры или определении местоположения. Скрипт устанавливает соединение с другим узлом. Он получает ICE-кандидаты, генерируемые браузером. Он считывает адреса из списка. Всё это происходит за доли секунды, и браузеру ничего не показалось неправильным. Он просто выполнил работу, для которой был создан WebRTC.
Публичный IP-адрес против локального IP-адреса
WebRTC может передавать два разных адреса, и они раскрывают разную информацию. Ваш публичный IP-адрес указывает на ваше приблизительное местоположение и вашего интернет-провайдера. Ваш локальный IP-адрес — например, 192.168.1.7 — просто отображает сеть внутри вашего дома или офиса. Ни один из них не должен попадать в руки случайного веб-сайта. Но именно публичный адрес должен вас беспокоить, потому что он ведет в реальный мир: к городу, провайдеру, а в конечном итоге и к двери.
Почему VPN этому не препятствует
VPN перенаправляет ваш обычный трафик. Проблема в том, что STUN-запрос может выйти за пределы этого туннеля, напрямую достичь STUN-сервера и вернуться с вашим реальным публичным IP-адресом. Браузеры частично исправили это в 2019 и 2020 годах, заменив локальный IP-адрес на зашифрованное имя хоста mDNS. Это полезно, но скрывает только локальный IP-адрес. Публичный IP-адрес из STUN всё ещё может просочиться наружу. Хуже того, маскировка часто исчезает в тот момент, когда сайт получает разрешение на использование микрофона или камеры. Таким образом, утечка сохраняется именно там, где большинство людей считают себя в безопасности.
Как правильно провести тест на утечку WebRTC
Проверка займет около минуты, и вам не обязательно верить кому-либо на слово.
Начните с выключенного VPN и запишите публичный IP-адрес, который показывает ваше соединение. Теперь включите VPN и откройте страницу для проверки утечки WebRTC, например, browserleaks.com/webrtc или ipleak.net. Сравните результаты. Если VPN работает и утечки IP-адреса нет, вы должны увидеть только адрес VPN. Если это число из первого шага появляется где-либо на странице, вы нашли утечку. Для получения более полной картины всего, что ваш браузер раскрывает, та же логика применима к более широкому набору проверок, описанных в нашем руководстве по BrowserLeaks.
При проверке на утечки WebRTC людей могут сбить с толку несколько моментов. Вы можете увидеть локальный IP-адрес, который выглядит как зашифрованная строка, заканчивающаяся на .local. Не паникуйте; это маскировка mDNS выполняет свою работу, а не утечка. Важен публичный адрес. Проверяйте в том же браузере и профиле, которые вы используете для конфиденциальной информации. Настройки и расширения не переносятся между ними. И запускайте проверку снова после каждого обновления браузера, поскольку патч может незаметно вернуть эти настройки в исходное состояние.
Какие браузеры передают ваш IP-адрес, а какие нет?
Не все браузеры обрабатывают утечку WebRTC одинаково, и эти различия имеют значение из-за особенностей сегментации рынка.
| Браузер | риск утечки WebRTC | Встроенная защита |
|---|---|---|
| Хром | Высокий | Встроенных функций нет; требуется расширение. |
| Firefox | Средне-высокий | По умолчанию происходит утечка публичного IP-адреса, но эту функцию легко отключить. |
| Храбрый | Низкий | Защита по отпечатку пальца и WebRTC включена по умолчанию. |
| Tor Browser | Никто | RTCPeerConnection полностью отключен. |
Chrome находится в самом центре проблемы, исключительно из-за своего влияния. По состоянию на май 2026 года он занимал около 70% мирового рынка браузеров , и в нем нет встроенной функции, предотвращающей передачу вашего IP-адреса через WebRTC. Firefox, с долей примерно в 2%, также по умолчанию раскрывает публичный IP-адрес, хотя, по крайней мере, позволяет отключить эту функцию в одной из настроек. Brave — это светлая сторона. В сентябре 2025 года его число активных пользователей в месяц превысило 101 миллион, и это единственный популярный браузер на основе Chromium, который включает защиту WebRTC по умолчанию. А Tor? Tor обходит всю эту защиту, полностью отключая соединение с пиром, именно поэтому исследователи конфиденциальности продолжают рекомендовать его новичкам.
Как отключить WebRTC и предотвратить утечки данных
Есть два способа это отключить. Полностью отключить WebRTC или внедрить его таким образом, чтобы он видел только выбранный вами адрес. Какой из них вам больше подходит, зависит от того, совершаете ли вы видеозвонки в браузере. Вот практическая версия для каждого браузера.
| Браузер | Как отключить или ограничить | Эффект |
|---|---|---|
| Firefox | about:config, установите media.peerconnection.enabled в значение false. | Полное отключение |
| Хром | Установите WebRTC Network Limiter или WebRTC Control. | Ограничивает воздействие |
| Край | edge://flags, enable "Анонимизировать локальные IP-адреса" | Частичный |
| Сафари | Разработка меню, экспериментальные функции, ограничение WebRTC. | Частичный |
Chrome и Edge
Chrome — неудобный вариант. В меню нет кнопки выключения, поэтому для блокировки WebRTC требуется расширение. Google выпускает собственное расширение — WebRTC Network Limiter. Оно блокирует опасные адреса, не прерывая ваши звонки. Хотите что-то попроще? WebRTC Control отключает его одним щелчком мыши. Microsoft Edge работает на том же движке Chromium, поэтому эти расширения тоже работают там, но он также скрывает удобный флаг по адресу edge://flags, который анонимизирует ваш локальный IP-адрес.
Firefox
В Firefox это очень просто. Введите about:config в адресной строке, пропустите пугающее предупреждение, найдите параметр media.peerconnection.enabled и установите его значение на false. Вот и всё. WebRTC отключен. Подвох: видео- и голосовые звонки в браузере отключаются, пока вы не включите его обратно.
Сафари и Опера
Safari по умолчанию работает в более безопасном режиме, а дополнительные возможности WebRTC можно настроить в меню «Разработка» в разделе «Экспериментальные функции». Opera использует Chromium, поэтому опирается на те же расширения, что и Chrome.
Использование VPN и компромиссы
Затем есть вариант с VPN. Если вы используете VPN с настоящей защитой от утечек, он пропускает трафик WebRTC через свой собственный туннель, поэтому STUN-сервер видит только адрес VPN. Это самый чистый вариант, потому что ваши звонки продолжают работать, а надежный прокси-сервер может предотвратить утечки IP-адресов таким же образом. Подвох в доверии. Не каждый VPN действительно это делает. Когда VoidSec протестировал 70 VPN-провайдеров в 2018 году , 16 из них все еще допускали утечку реального IP-адреса через WebRTC. Примерно 23%. Хорошие провайдеры с тех пор исправили это, но урок остается: тестируйте, а не предполагайте. Хотите более надежный вариант? Полностью отключите WebRTC. Просто помните, что это сломает все, что от него зависит.
Почему утечка WebRTC угрожает держателям криптовалюты
Для пользователя криптовалюты раскрытый IP-адрес — это не просто примечание к конфиденциальности. Это граница между вашей жизнью в блокчейне и вашей физической жизнью. И в последнее время эта граница стала опасной.
Цепочка атак от IP-адреса до кошелька
Адреса в блокчейне псевдонимны, но не анонимны. Каждая ваша транзакция находится на виду у всех. Единственное, что мешает ей указать на вас, — это отсутствие метки: имени, местоположения. IP-адрес — это и есть эта метка. И исследователи доказали практичность этой связи более десяти лет назад. В исследовании 2014 года Александр Бирюков и его коллеги использовали несколько удачно расположенных узлов, чтобы связать псевдонимы Bitcoin с IP-адресами, которые первыми передали их транзакции. Утечка WebRTC предоставляет злоумышленнику ту же самую связь бесплатно. Откройте обозреватель блоков или децентрализованную биржу (DEX), когда ваш реальный IP-адрес находится в открытом доступе, и одна страница может привязать кошелек, за которым вы следите, к вашему домашнему интернету и вашему провайдеру.
И опасность возрастает, потому что утечка не обязательно должна застать вас врасплох в середине транзакции. Достаточно, чтобы она произошла всего один раз, на любой странице, где запущен вредоносный скрипт, пока вы проверяете баланс или просматриваете маркетплейс. А что потом? IP-адрес сопоставляется с записями интернет-провайдера, профилями брокеров данных, старой утечкой. Рано или поздно имя прилипает. Кошелек был публичным все это время. Утечка просто передала ему это название.
От деанонимизации до стука в дверь
Раньше это была абстрактная проблема. Но теперь это не так. Так называемые атаки с использованием гаечного ключа, когда владельцев грабят или похищают ради их ключей, выросли примерно на 75% к 2025 году, зафиксировано 72 подтвержденных инцидента, в результате которых было похищено не менее 41 миллиона долларов, согласно данным отраслевых аналитиков . Схема практически не меняется: злоумышленники сопоставляют видимые средства в блокчейне с данными вне блокчейна, чтобы установить личность реального человека по реальному адресу. Ваш IP-адрес — один из самых надежных способов закрепить вторую половину этой информации.
Подумайте, как ведёт себя злоумышленник. Он уже видит, в каких кошельках хранятся реальные деньги; эта часть общедоступна. Чего ему не хватает, так это карты, по которой можно определить местоположение по простому адресу. IP-адрес сужает область поиска с целого интернета до города, интернет-провайдера, а зачастую и до одного района. Остальное — обычная работа. Для обычного пользователя браузера подобная утечка — пустяк. Но для того, кто хранит семизначные суммы в блокчейне, это грань между псевдонимом и отмеченной целью. Именно из-за этого пробела криптопользователям следует сообщать об утечке WebRTC в разделе безопасности, а не в разделе конфиденциальности в интернете.
Ваш IP-адрес является персональными данными.
Есть и юридический аспект. Еще в 2016 году Европейский суд по делу Брейера постановил, что даже динамический IP-адрес считается персональными данными, если кто-то может обоснованно использовать его для вашей идентификации. По этой логике, сайт, незаметно собирающий ваш IP-адрес через WebRTC, обрабатывает персональные данные без вашего согласия. Это не устраняет утечку, но показывает, насколько серьезно регулирующие органы относятся к информации, которую ваш браузер предоставляет бесплатно.
Устраните утечку, прежде чем она откроется.
Утечка WebRTC происходит незаметно, не запрашивает разрешения, и один только VPN от неё не спасёт. Поэтому усильте свою защиту. Выберите браузер, который защищает вас по умолчанию, или отключите WebRTC там, где он не работает. Используйте VPN, который действительно проходит проверку на утечку, чтобы скрыть свой IP-адрес. Проверяйте после каждого обновления. Для тех, кто переводит средства, цель узкая и заслуживает прямого ответа: не допускайте образования связи между вашим кошельком и вашим IP-адресом, потому что, как только она появится, вы уже не сможете её восстановить. Так когда вы в последний раз проверяли, что именно ваш браузер утекает?
