Возможно ли пофиксить уязвимость проброса трафика в WebRTC?

Question

[WSGlebKavash]

В 2019 году на хабре появилась статья о том, как поднять OpenVPN сервер и подключиться к нему без белого IP через публичные TURN-сервера. Статья не вызвала особого интереса среди широкой публики и осталась лишь как мануал для гиков.
Однако на фоне известных событий, произошедших с мобильной связью в России, интерес к этой теме вновь возрос. В январе 2026 года появились готовые решения, которые позволили туннелировать практически любой UDP-трафик через TURN. Более того, появились скрипты для автоматического извлечения ключей из ссылок на видеозвонки.
Я задался очень интересным вопросом. Неужели такой уязвимости подвержены абсолютно все мессенджеры с видеозвонками и системы ВКС? Получается, если я подниму свой Matrix+Jitsi сервер или Asterisk АТС, любой сможет проксировать через него UDP-трафик, просто получив ссылку на видеозвонок?
Возможно ли как-то победить эту проблему?

Answer 1

[Василий Банников]

Неужели такой уязвимости подвержены абсолютно все мессенджеры с видеозвонками и системы ВКС?

Только те где есть turn.

Получается, если я подниму свой Matrix+Jitsi сервер или Asterisk АТС, любой сможет проксировать через него UDP-трафик, просто получив ссылку на видеозвонок?

1. matrix тут мимо, так как текст, а не голос
2. Jitsi - или используй сторонний turn-сервер, а не свой, или не выпускай его в публичный интернет. Или вообще не используй turn, а обходись p2p.
Ссылки на звонки можно ограничить по времени жизни, но для этого их придётся сохранять.

Про астериск не скажу, так как не в курсе, как там связь работает.

Вообще я бы не назвал это уязвимостью, так как тут by design нужно произвольный udp трафик передавать (ибо шифрование).

Конкретный способ закрытия "уязвимости" можно подобрать, если будет понятно, чем именно такое поведение вредит именно вам.

Comments

[WSGlebKavash]

Василий Банников,

matrix тут мимо, так как текст, а не голос

Это полноценный мессенджер с аудио и видеозвонками. Есть возможность делать собственные сервера.

как там связь работает

В режиме прямой установки соединений тоже используется TURN. В режиме, когда все звонки идут через АТС, turn не используется.

если будет понятно, чем именно такое поведение вредит именно вам

Существует ли риск нарваться на проблемы с законом?

[Василий Банников]

WSGlebKavash, даже без turn есть риск.

Например можно нарваться на РКН как ОРИ, если матрикс и jitsi пудут публично доступные.

Соответственно привлекут за неисполнение обязанностей ОРИ.

Если выяснится, что ты еще и деньги за это берешь, то могут притянуть и сказать, что ты услуги связи без лицензии оказываешь.

[WSGlebKavash]

Василий Банников,

Если выяснится, что ты еще и деньги за это берешь, то могут притянуть и сказать, что ты услуги связи без лицензии оказываешь.

Таких планов нет. Думал сделать решение чисто для родственников/друзей.

[Василий Банников]

WSGlebKavash, поднимите свой vpn и сделайте эти сервисы доступными внутри него.

Для этого он и был придуман изначально.

Answer 2

[Apasnychel]

Мне кажется в общем логическом случаи ответ да где есть любой turn сервер(или даже relay со свои кастомным протоколом) или иными словами де-факто посредник дня устройств за nat, будет:
1) если есть шифрование, сервер никогда не будет понимать что он вообще пересылает.
Если нет шифрования и у сервера есть возможность анализировать данные стеганографию никто не отменял. Можно кодировать информацию дале при сжатие с потерями, и городить поверх этого TCP. Да жутко геморрой. Очень сильный геморрой. Но де-факто это возможно