Rò rỉ WebRTC: Cách nó làm lộ địa chỉ IP thật của bạn
VPN của bạn đang bật. Thiết bị đầu cuối cho biết bạn đang ở Zurich. Ví điện tử của bạn có vẻ ẩn danh. Nhưng rồi một tính năng duy nhất được tích hợp sẵn trong trình duyệt của bạn lại âm thầm tiết lộ địa chỉ IP thực của bạn cho một trang web — địa chỉ IP gắn liền với nhà và tên của bạn. Tính năng đó là WebRTC, và lỗ hổng mà nó tạo ra được gọi là rò rỉ WebRTC.
Đối với hầu hết mọi người, đó là một sự phiền toái về quyền riêng tư. Đối với bất kỳ ai đang nắm giữ tiền điện tử, đó là mắt xích đầu tiên trong một chuỗi dẫn đến việc người lạ biết được ví nào thuộc về ai. Hướng dẫn này sẽ chỉ ra phần còn lại của chuỗi đó: rò rỉ WebRTC là gì, làm thế nào nó vượt qua được VPN, cách kiểm tra và cách tắt nó trong mọi trình duyệt. Và tại sao điều đó lại quan trọng hơn nhiều khi trình duyệt của bạn truy cập vào ví điện tử.
Rò rỉ WebRTC là gì và tại sao nó xảy ra
WebRTC là viết tắt của Web Real-Time Communication (Giao tiếp thời gian thực trên web). Nói một cách đơn giản, nó là nền tảng cho phép trình duyệt thực hiện cuộc gọi video, trò chuyện thoại và truyền tải tập tin mà không cần plugin, và nó đã được tích hợp trong mọi trình duyệt chính kể từ khoảng năm 2011. Đây là phần gây rắc rối. Để kết nối trực tiếp hai người, mỗi bên phải học được địa chỉ IP của bên kia. Đó không phải là lỗi. Đó là toàn bộ nhiệm vụ.
Vấn đề nằm ở chỗ bất kỳ trang web nào cũng có thể kích hoạt nó. Một trang web sẽ mở kết nối WebRTC trong nền. Nó sẽ đọc các địa chỉ IP mà trình duyệt của bạn cung cấp. Không có lời nhắc cấp quyền. Không có dấu hiệu nào hiển thị. Nếu bạn làm điều đó sau VPN, địa chỉ IP thực của bạn vẫn bị lộ, thì bạn sẽ bị rò rỉ thông tin WebRTC. Tất cả những điều này không phải là mới. Nhà phát triển Daniel Roesler đã đăng một bằng chứng hoạt động vào tháng 1 năm 2015, lấy được các địa chỉ IP thực trực tiếp từ trình duyệt của người dùng VPN. Mười năm trôi qua, cơ chế này hầu như không thay đổi.
Điều khiến vụ việc này trở nên nguy hiểm chính là sự im lặng của nó. Không có cửa sổ bật lên. Không có lời nhắc xin phép. Không có gì hiển thị trên thanh địa chỉ. Yêu cầu này không bao giờ xuất hiện trong nhật ký mạng mà người bình thường có thể kiểm tra, và các trình chặn quảng cáo cũng cho phép nó đi qua, bởi vì đối với trình duyệt, nó trông giống như thiết lập WebRTC thông thường, chứ không phải là trình theo dõi. Vì vậy, bạn có thể sử dụng VPN trả phí, trình duyệt sạch và trình chặn quảng cáo cùng một lúc, và vẫn có thể cung cấp địa chỉ thật của mình cho trang đầu tiên yêu cầu. Vô hình và thường nhật: đó chính là lý do tại sao vụ rò rỉ này tồn tại suốt mười năm.
Cơ chế rò rỉ thông tin: STUN, NAT và địa chỉ IP của bạn
Để hiểu tại sao VPN không tự động giúp bạn tránh khỏi rò rỉ WebRTC, điều hữu ích là xem trình duyệt thực sự đang làm gì bên trong.
STUN và ICE, cơ chế
Hầu hết các thiết bị đều nằm sau bộ định tuyến thực hiện NAT (Dịch địa chỉ mạng), vì vậy máy tính của bạn không biết địa chỉ IP công cộng của chính nó. Để tìm ra địa chỉ này, WebRTC sử dụng một công cụ hỗ trợ gọi là máy chủ STUN. Trình duyệt hỏi máy chủ STUN một câu hỏi đơn giản: "Từ vị trí của bạn, bạn thấy tôi đang truy cập từ địa chỉ nào?" Máy chủ trả lời bằng địa chỉ IP công cộng của bạn. WebRTC thu thập một số câu trả lời này, được gọi là các ứng viên ICE, và liệt kê chúng để thiết bị đầu cuối có thể chọn tuyến đường. Một trang web theo dõi chỉ cần đọc danh sách đó. Thế là xong.
Tại sao điều đó lại quan trọng? Bởi vì toàn bộ quá trình trao đổi STUN được thực hiện bằng JavaScript mà bất kỳ trang nào cũng có thể kích hoạt. Không có hộp thoại nào, như trường hợp hiển thị camera hoặc vị trí của bạn. Đoạn mã mở một kết nối ngang hàng. Nó thu thập các ứng viên ICE mà trình duyệt tạo ra. Nó đọc các địa chỉ từ danh sách. Tất cả chỉ diễn ra trong tích tắc, và trình duyệt không thấy có gì bất thường. Nó chỉ đơn giản là thực hiện đúng chức năng mà WebRTC được xây dựng để làm.
Địa chỉ IP công cộng so với địa chỉ IP cục bộ
WebRTC có thể cung cấp hai địa chỉ khác nhau, và chúng tiết lộ những thông tin khác nhau. Địa chỉ IP công cộng của bạn cho biết vị trí gần đúng và nhà cung cấp dịch vụ internet của bạn. Địa chỉ IP cục bộ của bạn — ví dụ như 192.168.1.7 — chỉ đơn giản là ánh xạ mạng bên trong nhà hoặc văn phòng của bạn. Cả hai đều không nên rơi vào tay một trang web ngẫu nhiên. Nhưng địa chỉ IP công cộng mới là thứ đáng lo ngại, bởi vì nó dẫn trở lại thế giới thực: một thành phố, một nhà cung cấp, và cuối cùng là một cánh cửa.
Vì sao VPN không ngăn chặn được điều đó?
VPN chuyển hướng lưu lượng truy cập thông thường của bạn. Vấn đề là yêu cầu STUN có thể lọt ra ngoài đường hầm đó, truy cập trực tiếp vào máy chủ STUN và trả về địa chỉ IP công cộng thực của bạn. Các trình duyệt đã vá một phần vấn đề này vào năm 2019 và 2020, bằng cách thay thế địa chỉ IP cục bộ bằng tên máy chủ mDNS được mã hóa. Điều này có ích, nhưng nó chỉ che giấu địa chỉ IP cục bộ. Địa chỉ IP công cộng từ STUN vẫn có thể bị lộ ra ngoài. Tệ hơn nữa, việc che giấu thường bị mất đi ngay khi một trang web có quyền truy cập micro hoặc camera. Vì vậy, lỗ hổng vẫn tồn tại chính xác ở nơi mà hầu hết mọi người cho rằng họ an toàn.
Cách chạy thử nghiệm rò rỉ WebRTC đúng cách
Việc kiểm tra chỉ mất khoảng một phút, và bạn không cần phải tin lời bất cứ ai.
Hãy bắt đầu bằng cách tắt VPN và ghi lại địa chỉ IP công cộng mà kết nối của bạn hiển thị. Sau đó, bật VPN lên và mở một trang kiểm tra rò rỉ WebRTC, ví dụ như browserleaks.com/webrtc hoặc ipleak.net. So sánh. Nếu VPN hoạt động bình thường và không có rò rỉ IP, bạn sẽ chỉ thấy địa chỉ của VPN. Nếu con số từ bước một xuất hiện ở bất kỳ đâu trên trang, bạn đã tìm thấy điểm rò rỉ. Để có cái nhìn toàn diện hơn về tất cả những gì trình duyệt của bạn để lộ, logic tương tự cũng áp dụng cho bộ kiểm tra rộng hơn được đề cập trong hướng dẫn về BrowserLeaks của chúng tôi.
Có một vài điều khiến mọi người nhầm lẫn khi kiểm tra rò rỉ WebRTC. Bạn có thể thấy một địa chỉ IP cục bộ trông giống như một chuỗi ký tự bị mã hóa kết thúc bằng .local. Đừng hoảng sợ; đó là do cơ chế che giấu mDNS đang hoạt động, chứ không phải là rò rỉ. Địa chỉ quan trọng là địa chỉ công khai. Hãy kiểm tra trên chính trình duyệt và hồ sơ bạn sử dụng cho bất kỳ thông tin nhạy cảm nào. Cài đặt và tiện ích mở rộng không được chuyển tiếp. Và hãy chạy lại kiểm tra sau mỗi lần cập nhật trình duyệt, vì bản vá lỗi có thể âm thầm khôi phục lại các cài đặt này.
Những trình duyệt nào làm lộ địa chỉ IP của bạn và những trình duyệt nào thì không.
Không phải tất cả các trình duyệt đều xử lý rò rỉ WebRTC theo cùng một cách, và sự khác biệt này rất quan trọng vì thị trường đang phân chia như thế nào.
| Trình duyệt | rủi ro rò rỉ WebRTC | Bảo vệ tích hợp |
|---|---|---|
| Chrome | Cao | Không phải là ngôn ngữ gốc; cần có tiện ích mở rộng. |
| Firefox | Trung bình-cao | Tự động rò rỉ địa chỉ IP công cộng, nhưng dễ dàng tắt. |
| Can đảm | Thấp | Tính năng bảo vệ bằng vân tay và WebRTC được bật mặc định. |
| Trình duyệt Tor | Không có | RTCPeerConnection đã bị vô hiệu hóa hoàn toàn |
Chrome nằm ở trung tâm của vấn đề, đơn thuần là vì phạm vi tiếp cận của nó. Tính đến tháng 5 năm 2026, Chrome chiếm khoảng 70% thị trường trình duyệt toàn cầu , và nó được cài đặt sẵn mà không có tùy chọn nào để ngăn WebRTC tiết lộ địa chỉ IP của bạn. Firefox, với khoảng 2% thị phần, cũng làm lộ địa chỉ IP công cộng theo mặc định, mặc dù ít nhất nó cho phép bạn tắt tính năng này chỉ trong một thiết lập. Brave là điểm sáng. Nó đã vượt qua 101 triệu người dùng hoạt động hàng tháng vào tháng 9 năm 2025, và đây là trình duyệt Chromium phổ biến duy nhất bật tính năng bảo vệ WebRTC ngay từ đầu. Còn Tor thì sao? Tor né tránh toàn bộ vấn đề bằng cách vô hiệu hóa hoàn toàn kết nối ngang hàng, đó chính là lý do tại sao các nhà nghiên cứu về quyền riêng tư tiếp tục hướng người dùng mới đến với nó.
Cách vô hiệu hóa WebRTC và ngăn ngừa rò rỉ dữ liệu
Có hai cách để tắt chức năng này. Tắt hoàn toàn WebRTC, hoặc giới hạn nó sao cho chỉ có thể truy cập địa chỉ bạn chọn. Cách nào bạn muốn sử dụng phụ thuộc vào việc bạn có thực sự thực hiện cuộc gọi video trên trình duyệt hay không. Dưới đây là phiên bản thực tế, dành cho từng trình duyệt.
| Trình duyệt | Cách vô hiệu hóa hoặc giới hạn | Tác dụng |
|---|---|---|
| Firefox | about:config, đặt media.peerconnection.enabled thành false | Vô hiệu hóa hoàn toàn |
| Chrome | Cài đặt WebRTC Network Limiter hoặc WebRTC Control | Hạn chế tiếp xúc |
| Bờ rìa | edge://flags, bật tùy chọn "Ẩn danh địa chỉ IP cục bộ" | Một phần |
| Cuộc đi săn | Phát triển menu, Tính năng thử nghiệm, giới hạn WebRTC | Một phần |
Chrome và Edge
Chrome là trình duyệt khó sử dụng hơn. Không có nút tắt nào được giấu trong menu, vì vậy để chặn WebRTC, bạn cần một tiện ích mở rộng. Google có tiện ích riêng của họ, WebRTC Network Limiter. Nó sẽ lọc các địa chỉ có rủi ro mà không làm gián đoạn cuộc gọi của bạn. Muốn thứ gì đó mạnh tay hơn? WebRTC Control sẽ tắt nó chỉ bằng một cú nhấp chuột. Microsoft Edge chạy trên cùng một công cụ Chromium, vì vậy các tiện ích mở rộng đó cũng hoạt động ở đó, nhưng nó cũng ẩn một cờ tiện dụng tại edge://flags giúp ẩn danh địa chỉ IP cục bộ của bạn.
Firefox
Firefox làm điều đó rất dễ dàng. Gõ about:config vào thanh địa chỉ, bỏ qua cảnh báo khó chịu, tìm kiếm media.peerconnection.enabled, và chuyển nó thành false. Vậy là xong. WebRTC đã bị tắt. Tuy nhiên, cần lưu ý: các cuộc gọi video và thoại trong trình duyệt sẽ bị gián đoạn cho đến khi bạn bật lại nó.
Safari và Opera
Safari mặc định hoạt động an toàn hơn, và bạn có thể thắt chặt thêm các quy tắc WebRTC từ menu Phát triển trong mục Tính năng thử nghiệm. Opera sử dụng Chromium, vì vậy nó dựa vào các tiện ích mở rộng tương tự như trên Chrome.
Việc sử dụng VPN và những đánh đổi
Tiếp theo là phương án sử dụng VPN. Nếu bạn sử dụng VPN có tính năng bảo vệ chống rò rỉ thực sự, nó sẽ đẩy lưu lượng WebRTC qua đường hầm riêng của nó, do đó máy chủ STUN chỉ nhìn thấy địa chỉ của VPN. Đây là lựa chọn an toàn nhất, vì các cuộc gọi của bạn vẫn hoạt động bình thường, và một máy chủ proxy đáng tin cậy có thể ngăn chặn rò rỉ IP theo cách tương tự. Vấn đề nằm ở sự tin tưởng. Không phải VPN nào cũng thực hiện điều này. Khi VoidSec thử nghiệm 70 nhà cung cấp VPN vào năm 2018 , 16 trong số đó vẫn để lộ IP thực thông qua WebRTC. Khoảng 23%. Những nhà cung cấp tốt đã khắc phục vấn đề này, nhưng bài học vẫn còn đó: hãy kiểm tra, đừng giả định. Muốn phương án triệt để hơn? Hãy tắt hoàn toàn WebRTC. Chỉ cần nhớ rằng điều này sẽ làm hỏng bất cứ thứ gì phụ thuộc vào nó.
Vì sao rò rỉ WebRTC lại đe dọa người nắm giữ tiền điện tử?
Đối với người dùng tiền điện tử, việc lộ địa chỉ IP không chỉ là vấn đề nhỏ về quyền riêng tư. Nó là ranh giới giữa cuộc sống trên chuỗi khối và cuộc sống thực của bạn. Và gần đây, ranh giới đó đã trở nên nguy hiểm.
Chuỗi tấn công từ IP đến ví điện tử
Địa chỉ blockchain là địa chỉ giả danh, chứ không phải ẩn danh. Mọi giao dịch bạn từng thực hiện đều được công khai. Điều duy nhất ngăn cản việc xác định danh tính bạn là thiếu nhãn: tên, địa điểm. Địa chỉ IP chính là nhãn đó. Và các nhà nghiên cứu đã chứng minh mối liên hệ này là khả thi hơn một thập kỷ trước. Trong một nghiên cứu năm 2014 , Alexandre Biryukov và các đồng nghiệp đã sử dụng một số nút được đặt đúng vị trí để liên kết các địa chỉ giả danh Bitcoin với các địa chỉ IP đầu tiên phát sóng giao dịch của chúng. Một lỗ hổng bảo mật WebRTC cung cấp cho kẻ tấn công cùng một kết nối đó một cách miễn phí. Mở trình khám phá khối hoặc sàn giao dịch phi tập trung (DEX) trong khi địa chỉ IP thực của bạn bị lộ, và chỉ một trang web có thể liên kết ví bạn đang theo dõi với nhà riêng và nhà cung cấp dịch vụ của bạn.
Và mối nguy hiểm càng tăng lên, bởi vì vụ rò rỉ không cần phải xảy ra khi bạn đang giao dịch. Nó chỉ cần kích hoạt một lần, trên bất kỳ trang nào đang chạy mã độc hại, trong khi bạn đang kiểm tra số dư hoặc duyệt web trên một sàn thương mại điện tử. Sau đó thì sao? Địa chỉ IP sẽ được đối chiếu với hồ sơ của nhà cung cấp dịch vụ internet, hồ sơ của các nhà môi giới dữ liệu, và một vụ rò rỉ cũ. Sớm muộn gì cái tên cũng sẽ bị lộ. Ví điện tử đã được công khai từ lâu. Vụ rò rỉ chỉ đơn giản là cung cấp cái tên để xác định danh tính kẻ gây ra vụ việc.
Từ việc tiết lộ danh tính đến tiếng gõ cửa.
Trước đây, đây chỉ là một mối lo ngại trừu tượng. Giờ thì không còn nữa. Các vụ tấn công "cướp chìa khóa" (writch attacks), trong đó người nắm giữ khóa bị cướp hoặc bắt cóc, đã tăng khoảng 75% trong năm 2025, với 72 vụ việc được xác nhận và ít nhất 41 triệu đô la bị đánh cắp, theo số liệu theo dõi ngành . Mô hình này hầu như không thay đổi: kẻ tấn công kết hợp tài sản hiển thị trên chuỗi với danh tính ngoài chuỗi để xác định một người thật tại một địa chỉ thật. Địa chỉ IP của bạn là một trong những cách hiệu quả nhất để xác định danh tính đó.
Hãy đảo ngược vấn đề và suy nghĩ như kẻ tấn công. Chúng đã có thể biết ví nào đang chứa tiền thật; phần đó đã được công khai. Điều chúng thiếu là bản đồ từ một địa chỉ IP lớn đến tận cửa nhà. Một địa chỉ IP thu hẹp phạm vi tìm kiếm từ toàn bộ internet xuống còn một thành phố, một nhà cung cấp dịch vụ internet (ISP), thường là một khu phố cụ thể. Phần còn lại chỉ là những thao tác thông thường. Đối với một trình duyệt thông thường, một vụ rò rỉ như thế này chỉ là chuyện nhỏ. Nhưng đối với người đang nắm giữ hàng triệu đô la trên chuỗi khối, đó là ranh giới giữa một biệt danh và một mục tiêu bị nhắm đến. Khoảng cách đó là lý do tại sao người dùng tiền điện tử nên báo cáo vụ rò rỉ WebRTC này thuộc diện bảo mật, chứ không phải là tùy chọn quyền riêng tư trực tuyến.
Địa chỉ IP của bạn là dữ liệu cá nhân.
Vấn đề này cũng có khía cạnh pháp lý. Quay trở lại năm 2016, Tòa án Công lý Châu Âu đã phán quyết trong vụ Breyer rằng ngay cả địa chỉ IP động cũng được coi là dữ liệu cá nhân, miễn là ai đó có thể sử dụng nó để xác định lại danh tính của bạn. Theo logic đó, một trang web âm thầm thu thập địa chỉ IP của bạn thông qua WebRTC đang xử lý dữ liệu cá nhân mà không có sự đồng ý. Điều đó không khắc phục được sự rò rỉ thông tin. Nhưng nó cho thấy các cơ quan quản lý coi trọng như thế nào đối với thông tin mà trình duyệt của bạn cung cấp miễn phí.
Hãy bịt kín chỗ rò rỉ trước khi nó lan rộng.
Rò rỉ WebRTC diễn ra âm thầm, không cần xin phép và chỉ dùng VPN thôi sẽ không bảo vệ được bạn. Vì vậy, hãy tăng cường phòng thủ. Chọn trình duyệt bảo vệ bạn theo mặc định, hoặc tắt WebRTC ở những nơi trình duyệt không hỗ trợ. Sử dụng VPN đã vượt qua bài kiểm tra rò rỉ để ẩn địa chỉ IP của bạn. Kiểm tra lại sau mỗi lần cập nhật. Đối với bất kỳ ai chuyển tiền, mục tiêu rất rõ ràng: ngăn chặn việc hình thành liên kết giữa ví điện tử và địa chỉ IP của bạn, vì một khi đã hình thành, bạn không thể thu hồi lại được. Vậy lần cuối bạn kiểm tra xem trình duyệt của mình thực sự rò rỉ thông tin gì là khi nào?
