Витік WebRTC: як він розкриває вашу справжню IP-адресу
Ваш VPN увімкнено. Вихідний вузол повідомляє, що ви перебуваєте в Цюриху. Ваш гаманець здається анонімним. А потім одна функція, вбудована у ваш браузер, непомітно повідомляє вебсайту вашу справжню IP-адресу — ту, що пов’язана з вашим будинком та вашим ім’ям. Ця функція називається WebRTC, а прогалина, яку вона створює, називається витоком WebRTC.
Для більшості людей це є проблемою конфіденційності. Для будь-кого, хто володіє криптовалютою, це перша ланка в ланцюжку, який закінчується тим, що незнайомець знає, який гаманець належить якому дому. Цей посібник пройдеться далі по цьому ланцюжку: що таке витік WebRTC, як він прослизає повз VPN, як його перевірити та як його закрити в кожному браузері. І чому це набагато важливіше, коли ваш браузер торкається гаманця.
Що таке витік WebRTC і чому він трапляється
WebRTC розшифровується як Web Real-Time Communication (Веб-спілкування в реальному часі). Простіше кажучи, це технологія, яка дозволяє браузерам здійснювати відеодзвінки, голосовий чат і передавати файли без плагінів, і вона постачається у кожному основному браузері приблизно з 2011 року. А ось що вас кусає. Щоб з’єднати двох людей безпосередньо, кожна сторона повинна дізнатися IP-адресу іншої. Це не помилка. Це вся робота.
Загвоздка в тому, що будь-який веб-сайт може це запустити. Сторінка відкриває WebRTC-з’єднання у фоновому режимі. Вона зчитує IP-адреси, які пропонує ваш браузер. Без запиту дозволу. Без видимої позначки. Якщо ви зробите це за VPN, спостерігатимете, як ваша справжня адреса все одно з’явиться, і у вас буде витік WebRTC. Нічого нового. Розробник Даніель Рослер опублікував робочий доказ концепції в січні 2015 року, витягуючи реальні IP-адреси безпосередньо з браузерів користувачів VPN. Десять років потому механізм майже не зрушив з місця.
Що робить цей запит неприємним, так це його тиша. Жодного спливаючого вікна. Жодного запиту на дозвіл. Нічого в адресному рядку. Запит ніколи не відображається в журналі мережі, який звичайна людина могла б подумати перевірити, а блокувальники реклами просто пропускають його, бо для браузера це виглядає як звичайна конфігурація WebRTC, а не трекер. Тож ви можете одночасно використовувати платний VPN, чистий браузер і блокувальник реклами, і все одно передавати свою справжню адресу першій сторінці, яка її запитує. Непомітно та рутинно: саме тому витік даних протримався десять років.
Як працює витік: STUN, NAT та ваша IP-адреса
Щоб зрозуміти, чому VPN не рятує вас автоматично від витоку WebRTC, корисно подивитися, що насправді робить браузер «під капотом».
STUN та ICE, механізм
Більшість пристроїв розташовані за маршрутизатором, який виконує NAT (перетворення мережевих адрес), тому ваш комп'ютер не знає власної публічної адреси. Щоб її знайти, WebRTC використовує допоміжний засіб, який називається STUN-сервером. Браузер задає STUN-серверу просте запитання: «Звідки ви знаходитесь, з якої адреси ви бачите, що я йду?» Сервер відповідає вашою публічною IP-адресою. WebRTC збирає кілька таких відповідей, які називаються ICE-кандидатами, і перераховує їх, щоб вузол міг вибрати маршрут. Веб-сайт, що шпигує, просто зчитує цей список. Кінець гри.
Чому це важливо? Тому що весь обмін STUN працює на JavaScript, який може запустити будь-яка сторінка. Немає діалогового вікна, як це буває з камерою чи вашим місцезнаходженням. Скрипт відкриває з'єднання з вузлом. Він вибирає кандидатів ICE, яких генерує браузер. Він зчитує адреси зі списку. Все це за частку секунди, і браузер не бачив нічого підозрілого. Він просто виконав роботу, для якої WebRTC був створений.
Публічна IP-адреса проти локальної IP-адреси
WebRTC може передавати дві різні адреси, і вони видають різні речі. Ваша публічна IP-адреса вказує на ваше приблизне місцезнаходження та вашого інтернет-провайдера. Ваша локальна IP-адреса — щось на кшталт 192.168.1.7 — просто відображає мережу всередині вашого будинку чи офісу. Жодна з них не повинна знаходитися в руках випадкового веб-сайту. Але публічна — це те, що має вас турбувати, тому що вона веде назад до реального світу: міста, провайдера, зрештою дверей.
Чому VPN не зупиняє це
VPN перенаправляє ваш звичайний трафік. Проблема полягає в тому, що STUN-запит може вислизнути за межі цього тунелю, безпосередньо досягти STUN-сервера та повернутися з вашою справжньою публічною IP-адресою. Браузери частково виправили це у 2019 та 2020 роках, замінивши локальну IP-адресу на зашифроване ім'я хоста mDNS. Корисно, але це приховує лише локального кандидата. Публічна IP-адреса від STUN все ще може вийти назовні. Гірше того, маскування часто зникає, як тільки сайт отримує дозвіл на доступ до мікрофона або камери. Тож витік інформації залишається саме там, де більшість людей вважає себе в безпеці.
Як правильно провести тест на витік WebRTC
Перевірка займає близько хвилини, і вам не потрібно вірити нічиєму на слово.
Почніть з вимкнення VPN та запишіть публічну IP-адресу, яку відображає ваше з’єднання. Тепер увімкніть VPN та відкрийте сторінку тесту витоку WebRTC, наприклад, browserleaks.com/webrtc або ipleak.net. Порівняйте. Якщо VPN виконує свою роботу і витоку IP-адреси немає, ви повинні бачити лише адресу VPN. Якщо це число з першого кроку з’являється будь-де на сторінці, ви знайшли витік. Для повнішого уявлення про все, що викриває ваш браузер, та сама логіка застосовується до ширшого набору перевірок, розглянутих у нашому посібнику з BrowserLeaks.
Кілька речей можуть збити з пантелику людей під час перевірки на витоки WebRTC. Ви можете побачити локальну IP-адресу, яка виглядає як переплутаний рядок, що закінчується на .local. Не панікуйте; це маскування mDNS виконує свою роботу, а не витік. Важлива публічна адреса. Перевірте наявність конфіденційної інформації саме в тому браузері та профілі, який ви використовуєте. Налаштування та розширення не переносяться між ними. І запускайте перезавантаження після кожного оновлення браузера, оскільки патч може непомітно повернути ці налаштування назад.
Які браузери видають вашу IP-адресу, а які ні
Не всі браузери обробляють витік WebRTC однаково, і ці відмінності мають значення через те, як розподілений ринок.
| Браузер | Ризик витоку WebRTC | Вбудований захист |
|---|---|---|
| Хром | Високий | Немає рідної версії; потрібне розширення |
| Фаєрфокс | Середньо-високий | Витікає публічну IP-адресу за замовчуванням, але це легко вимкнути |
| Хоробрий | Низький | Захист відбитків пальців та WebRTC увімкнено за замовчуванням |
| Браузер Tor | Жоден | RTCPeerConnection повністю вимкнено |
Chrome є центром проблеми, виключно через свій охоплення. Станом на травень 2026 року він займав близько 70% світового ринку браузерів і постачається без вбудованого перемикача, який би запобігав видаванню вашої IP-адреси через WebRTC. Firefox, з часткою приблизно 2%, також за замовчуванням виводить публічну IP-адресу, хоча принаймні дозволяє вимкнути цю функцію одним налаштуванням. Brave — яскрава пляма. У вересні 2025 року кількість активних користувачів щомісяця перевищила 101 мільйон, і це єдиний популярний браузер Chromium, який вмикає захист WebRTC одразу після встановлення. А Tor? Tor уникає всього цього, повністю вимикаючи з’єднання з одноранговим користувачем, саме тому дослідники конфіденційності продовжують скеровувати новачків саме до нього.
Як вимкнути WebRTC та запобігти витокам
Два способи вимкнути це. Повністю вимкнути WebRTC або налаштувати його так, щоб він бачив лише вибрану вами адресу. Який саме варіант вам потрібен, залежить від того, чи здійснюєте ви відеодзвінки у своєму браузері. Ось практична версія для кожного браузера окремо.
| Браузер | Як вимкнути або обмежити | Ефект |
|---|---|---|
| Фаєрфокс | about:config, встановити media.peerconnection.enabled на false | Повне вимкнення |
| Хром | Встановлення обмежувача мережі WebRTC або керування WebRTC | Обмежує вплив |
| Край | edge://flags, увімкнути "Анонімізувати локальні IP-адреси" | Часткове |
| Сафарі | Меню «Розробка», експериментальні функції, обмеження WebRTC | Часткове |
Chrome та Edge
Chrome — незручний варіант. У меню немає перемикача для вимкнення, тому для блокування WebRTC потрібне розширення. Google публікує власне розширення — WebRTC Network Limiter. Він блокує ризиковані адреси, не зупиняючи ваші дзвінки. Хочете чогось більш прямолінійного? WebRTC Control вимикає його одним клацанням миші. Microsoft Edge працює на тому ж движку Chromium, тому ці розширення працюють і там, але він також приховує зручний прапорець edge://flags, який анонімізує вашу локальну IP-адресу.
Фаєрфокс
Firefox спрощує це. Введіть about:config в адресному рядку, клацніть повз страшне попередження, знайдіть media.peerconnection.enabled і перемкніть його на false. От і все. WebRTC вимкнено. Загвоздка: відео- та голосові дзвінки в браузері стають темними, доки ви знову їх не ввімкнете.
Сафарі та опера
Safari за замовчуванням працює безпечніше, і ви можете ще більше посилити WebRTC у меню «Розробка» в розділі «Експериментальні функції». Opera працює на Chromium, тому спирається на ті ж розширення, що й у Chrome.
Використання VPN та компроміс
Також існує VPN-маршрут. Якщо ви використовуєте VPN зі справжнім захистом від витоків, він пропускає WebRTC-трафік через власний тунель, тому STUN-сервер бачить лише адресу VPN. Найчистіший варіант, оскільки ваші дзвінки продовжують працювати, а надійний проксі-сервер може запобігти витоку IP-адрес таким самим чином. Загвоздка в довірі. Не кожен VPN насправді це робить. Коли VoidSec протестував 70 VPN-провайдерів у 2018 році , 16 з них все одно витікали реальні IP-адреси через WebRTC. Близько 23%. Хороші провайдери виправили це з того часу, але урок залишається незмінним: тестуйте, а не робіть припущень. Хочете ретельний маршрут? Вимкніть WebRTC повністю. Просто пам’ятайте, що він ламає все, що від нього залежить.
Чому витік WebRTC загрожує власникам криптовалют
Для криптокористувача розкрита IP-адреса — це не примітка щодо конфіденційності. Це шов між вашим життям у блокчейні та вашим фізичним життям. І останнім часом цей шов став небезпечним.
Ланцюжок знищення IP-адреси для гаманця
Блокчейн-адреси є псевдонімними, а не анонімними. Кожна транзакція, яку ви коли-небудь здійснювали, знаходиться у відкритому доступі. Єдине, що заважає їй вказати на вас, – це відсутня мітка: ім'я, місцезнаходження. IP-адреса – це ця мітка. І дослідники довели, що цей зв'язок був практичним понад десять років тому. У дослідженні 2014 року Олександр Бірюков та його колеги використовували кілька вдало розміщених вузлів, щоб прив'язати псевдоніми Bitcoin до IP-адрес, які першими транслювали їхні транзакції. Витік WebRTC надає зловмиснику це саме з'єднання безкоштовно. Відкрийте блок-дослідник або DEX, коли ваша справжня IP-адреса викрита, і одна сторінка може перенести гаманець, який ви спостерігаєте, на ваш дім та вашого провайдера.
І небезпека посилюється тим, що витік не обов'язково має застати вас посеред транзакції. Він має спрацювати лише один раз, на будь-якій сторінці, де запущено шкідливий скрипт, коли ви перевіряєте баланс або переглядаєте торговельний майданчик. Після цього? IP-адреса зіставляється із записами інтернет-провайдера, профілями брокерів даних, старим порушенням. Рано чи пізно ім'я прив'язується. Гаманець був публічним весь цей час. Витік просто передав ярлик.
Від деанонімізації до стуку у двері
Раніше це було абстрактним занепокоєнням. Тепер ні. Так звані атаки з використанням гайкових ключів, коли власників обкрадають або викрадають, щоб отримати їхні ключі, зросли приблизно на 75% у 2025 році, з 72 підтвердженими інцидентами та викраденням щонайменше 41 мільйона доларів, згідно з даними галузевого відстеження . Закономірність майже не змінюється: зловмисники поєднують видиме багатство в мережі з ідентичністю поза мережею, щоб розмістити реальну людину за реальною адресою. Ваша IP-адреса – один із найчистіших способів визначити цю другу половинку.
Переверніть це та подумайте як зловмисник. Вони вже бачать, які гаманці зберігають реальні гроші; ця частина є публічною. Чого їм бракує, так це карти від товстої адреси до вхідних дверей. IP-адреса звужує пошук з усього інтернету до міста, інтернет-провайдера, часто одного району. Решта — звичайна важка робота. Для пересічного браузера такий витік — це просто знизування плечима. Для того, хто тримає семизначну суму в блокчейні, це межа між псевдонімом та позначеною ціллю. Саме через цю прогалину криптокористувачі повинні подавати заяву про витік WebRTC у розділі безпеки, а не налаштувань конфіденційності в Інтернеті.
Ваша IP-адреса є персональними даними
Існує також юридичний аспект. Ще у 2016 році Європейський суд у справі Брейєра постановив, що навіть динамічна IP-адреса вважається персональними даними, якщо хтось може обґрунтовано використовувати її для вашої повторної ідентифікації. За цією логікою, сайт, який непомітно збирає вашу IP-адресу через WebRTC, обробляє персональні дані без вашої згоди. Це не вирішує проблему. Але це показує, наскільки серйозно регуляторні органи ставляться до того, що ваш браузер надає безкоштовно.
Закрийте витік, перш ніж він відкриється
Витік WebRTC є маловідомим, він не запитує дозволу, і сам по собі VPN не врятує вас від нього. Тож забезпечте захист. Виберіть браузер, який захищає вас за замовчуванням, або вимкніть WebRTC там, де він цього не робить. Використовуйте VPN, який дійсно проходить тест на витік, щоб приховати вашу IP-адресу. Перевіряйте після кожного оновлення. Для тих, хто переводить кошти, мета вузька, і її варто сказати прямо: запобігти утворенню зв'язку між вашим гаманцем та вашою IP-адресою, тому що як тільки він існує, ви не зможете його повернути. Тож коли ви востаннє перевіряли, що насправді витікає ваш браузер?
