O que é uma fuga WebRTC?

Uma fuga WebRTC acontece quando a API WebRTC incorporada no seu navegador revela o seu endereço IP real — local e/ou público — a um site, mesmo que esteja conectado a uma VPN. O WebRTC usa pedidos STUN/ICE para estabelecer conexões peer-to-peer, e esses pedidos podem viajar fora do túnel da VPN, expondo o IP que a sua VPN deveria esconder.

Como posso testar uma fuga WebRTC?

Abra uma ferramenta de teste de fuga enquanto a sua VPN está conectada e veja o endereço IP que o WebRTC reporta. Se mostrar o seu IP público real (aquele que o seu ISP atribuiu) em vez do IP da sua VPN, tem uma fuga. Pode executar o nosso teste de fuga de IP & WebRTC no navegador, que verifica a sua exposição de IP, DNS e WebRTC sem registar nada.

Quais navegadores são afetados por fugas WebRTC?

Todos os principais navegadores suportam WebRTC e podem vazar até certo ponto: Chrome, Firefox, Edge, Brave e Safari. A gravidade e as correções disponíveis diferem por navegador. O WebRTC está ativado por padrão na maioria dos navegadores modernos porque chamadas de áudio/vídeo em tempo real dependem dele.

Como posso corrigir uma fuga WebRTC?

Pode desativar completamente o WebRTC (Firefox: defina media.peerconnection.enabled como false em about:config), restringi-lo (o Brave tem uma 'política de manuseio de IP WebRTC' que pode definir para desativar UDP não-proxy), ou usar uma extensão como o uBlock Origin com a sua opção 'Prevenir que o WebRTC vaze endereços IP locais'. Também pode escolher uma VPN que inclua proteção contra fugas WebRTC. Sempre re-teste depois para confirmar que a correção funcionou.

Desativar o WebRTC quebra alguma coisa?

Sim — essa é a troca honesta. Desativar o WebRTC pode quebrar chamadas de vídeo e voz baseadas no navegador que dependem dele, como Google Meet, Discord no navegador, ou outras ferramentas de conferência web. Se precisar delas, restrinja o WebRTC em vez de desativá-lo completamente, ou use um perfil de navegador separado para chamadas.

Uma fuga WebRTC é um problema de segurança sério?

Depende do seu modelo de ameaça. Para alguém que simplesmente não quer que sites ou redes de anúncios vejam o seu IP real por trás de uma VPN, isso derrota o propósito de usar a VPN. Para um utilizador comum em Wi-Fi doméstico, o risco prático é menor. De qualquer forma, é um comportamento bem documentado, não um exploit exótico — e é fácil de testar e corrigir.

Posso ter uma fuga WebRTC sem uma VPN?

Sem uma VPN, o seu IP real já é visível para os sites que visita, então 'fuga' não é a palavra certa — não há nada a ser escondido. As fugas WebRTC importam especificamente quando está a usar uma VPN (ou proxy) e espera que o seu IP real esteja oculto, mas o WebRTC revela-o de qualquer forma.

Teste de fuga WebRTC: como verificar (e corrigir) a fuga que expõe o seu IP real

Q: Uma VPN protege contra fugas WebRTC?

Não automaticamente. Uma VPN encripta e redireciona o seu tráfego, mas os pedidos WebRTC podem contornar o túnel dependendo do navegador e do sistema operativo. Algumas aplicações VPN incluem proteção contra fugas WebRTC integrada; muitas não. A única maneira de saber é testar: conecte-se à sua VPN, depois execute um teste de fuga e compare o IP que o WebRTC reporta com o IP de saída da sua VPN.

Você conecta-se a uma VPN, a aplicação diz "protegido", e assume que o seu endereço IP real está oculto. Para a maior parte do seu tráfego, está. Mas há uma exceção silenciosa incorporada no seu navegador que pode entregar o seu IP real diretamente a qualquer site que visite — e a sua VPN não o avisará sobre isso.

Essa exceção é o WebRTC. É uma tecnologia de navegador projetada para áudio e vídeo em tempo real, e funciona tão bem que está ativada por padrão quase em todo o lado. O mesmo mecanismo que lhe permite fazer uma chamada de vídeo sem instalar nada também pode revelar o endereço IP que a sua VPN deveria mascarar.

Este guia explica o que é realmente uma fuga WebRTC, porque escapa ao túnel da VPN, como testá-la em menos de um minuto e como corrigi-la em todos os principais navegadores — incluindo a desvantagem honesta de cada correção.

O que é o WebRTC — e porque pode vazar o seu IP

O WebRTC (Comunicação em Tempo Real pela Web) é uma API incorporada nos navegadores modernos que permite que páginas web troquem áudio, vídeo e dados diretamente entre utilizadores, peer-to-peer, sem um plugin. É o que alimenta chamadas de vídeo no navegador, chat de voz e algumas ferramentas de partilha de ficheiros.

Para conectar duas pessoas que estão ambas atrás de routers domésticos, o WebRTC precisa descobrir o endereço público em que cada dispositivo pode ser alcançado. Faz isso usando servidores STUN e o quadro ICE (Estabelecimento de Conectividade Interativa). Em termos simples: o seu navegador pergunta a um servidor STUN "como é que o meu endereço parece do lado de fora?" e a resposta vem com o seu IP.

Aqui está o problema. Essa descoberta STUN/ICE pode enumerar todos os endereços de rede que o seu dispositivo conhece — incluindo o seu IP de rede local e, crucialmente, o seu IP público real — e pode fazê-lo através de um caminho que contorna o túnel da VPN. A VPN redireciona o seu tráfego normal, mas o pedido WebRTC pode contorná-lo, então o IP que reporta é aquele que a sua VPN deveria esconder. O site nunca teve que pedir permissão à sua VPN; o navegador voluntariou a informação.

Isto não é um bug em nenhuma VPN específica. É uma consequência de como o WebRTC foi projetado para encontrar a rota mais direta entre pares — rotas diretas são exatamente o que uma VPN tenta impedir.

Quais navegadores são afetados

O WebRTC está ativado por padrão na maioria dos navegadores modernos porque chamadas em tempo real dependem dele. Isso significa que o potencial para uma fuga existe em toda a linha:

Chrome — WebRTC ativado por padrão; controlado principalmente através de extensões ou políticas.
Firefox — WebRTC ativado por padrão, mas expõe uma alternância direta em about:config.
Edge — Baseado em Chromium, comporta-se como o Chrome.
Brave — Baseado em Chromium, mas possui uma configuração dedicada de manuseio de IP WebRTC nas suas opções de privacidade.
Safari — suporta WebRTC; comportamento e controles diferem da família Chromium.

A gravidade e as correções disponíveis variam de acordo com o navegador, por isso testar a sua própria configuração importa mais do que assumir "o meu navegador está bem".

Um corredor de sala de servidores alinhado com racks de rede — o tipo de infraestrutura em que os servidores STUN operam para descobrir o endereço do seu dispositivo

Como testar uma fuga WebRTC

Testar é a única maneira de saber a sua exposição real, e leva menos de um minuto:

Conecte-se à sua VPN e confirme que a aplicação diz que está protegido. Anote o IP de saída que a sua VPN afirma estar a usar (a maioria das aplicações VPN mostra-o).
Execute um teste de fuga. O teste mais rápido é o nosso próprio teste de fuga de IP & WebRTC — ele é executado inteiramente no seu navegador e mostra o que o seu IP, DNS e WebRTC estão realmente a expor, sem nada ser registado.
Compare os IPs. Veja o endereço IP que o WebRTC reporta. Se corresponder ao IP de saída da sua VPN, está tudo bem. Se mostrar o seu IP público real (aquele que o seu ISP lhe deu), ou se o seu IP real aparecer em qualquer lugar ao lado do IP da VPN, isso é uma fuga.

Uma verificação rápida de sanidade: anote o seu IP real primeiro com a VPN desligada, depois ligue a VPN e teste novamente. Se o WebRTC ainda mostrar esse mesmo IP real, o túnel está a ser contornado.

Como corrigir uma fuga WebRTC

Existem três caminhos honestos, e o certo depende de se alguma vez faz chamadas baseadas no navegador.

Desativar completamente o WebRTC (Firefox)

O Firefox é o caso mais simples porque oferece uma alternância direta:

Digite about:config na barra de endereços e aceite o aviso.
Procure por media.peerconnection.enabled.
Defina-o como false.

O WebRTC está agora desligado nesse navegador. Esta é a correção mais completa — mas irá quebrar qualquer site que dependa do WebRTC para chamadas (veja a troca abaixo).

Restringir o WebRTC em vez de desativá-lo (Brave)

O Brave permite que mantenha o WebRTC a funcionar enquanto impede que ele vaze. Nas configurações do Brave, em privacidade/segurança, defina a política de manuseio de IP WebRTC para "desativar UDP não-proxy". Isso força o WebRTC a rotear através do caminho do seu proxy/VPN em vez de tomar um atalho UDP direto, para que não possa expor o seu IP real por trás da VPN.

Usar uma extensão (Chrome, Edge e outros)

Navegadores baseados em Chromium como Chrome e Edge não expõem uma alternância nativa, então a correção prática é uma extensão. O uBlock Origin inclui uma opção chamada "Prevenir que o WebRTC vaze endereços IP locais" nas suas configurações — ative-a. Existem também extensões dedicadas de propósito único que controlam o WebRTC, mas usar uma ferramenta que já confia (como o uBlock Origin) mantém o seu número de extensões pequeno.

Escolher uma VPN que cuide disso por si

Algumas aplicações VPN incluem proteção contra fugas WebRTC integrada, então o túnel é aplicado ao nível do sistema ou da aplicação em vez de depender das configurações do navegador. Se não quiser mexer com about:config ou extensões, uma VPN com proteção contra fugas auditada é a opção de menor esforço. Seja qual for a sua escolha, execute novamente o teste de fuga depois — proteção que não verificou é apenas uma esperança.

A troca honesta

Desativar o WebRTC não é gratuito. O WebRTC é a tecnologia por trás das chamadas no navegador, então desligá-lo pode quebrar ferramentas como Google Meet, Discord no navegador, e outras aplicações de conferência web. Esse é o custo real, e vale a pena ser claro sobre isso.

Se depende de chamadas no navegador, tem duas opções sensatas: restringir o WebRTC (o estilo Brave "desativar UDP não-proxy", que mantém as chamadas a funcionar enquanto as roteia através da sua VPN), ou manter um perfil de navegador separado com o WebRTC ativado que só usa para chamadas, enquanto a sua navegação diária ocorre num perfil reforçado com o WebRTC desligado. De qualquer forma, o objetivo é o mesmo: parar a fuga sem perder as funcionalidades que realmente usa.

Depois de corrigir: verifique, não assuma

O hábito mais importante é re-testar após cada alteração. Atualizações do navegador, novos perfis, uma extensão reinstalada ou um servidor VPN trocado podem todos alterar a sua exposição. Conecte a VPN, abra um teste de fuga e confirme que o WebRTC reporta o IP da VPN — não o seu.

Se quiser aprofundar as fugas relacionadas que derrotam uma VPN, as fugas de DNS são a outra grande questão: o seu tráfego passa pelo túnel, mas as suas consultas DNS silenciosamente não. A mesma disciplina de teste aplica-se.

Continue: pare as fugas que derrotam a sua VPN

Este artigo explica comportamentos de navegador documentados e verificáveis (Firefox about:config, política de manuseio de IP WebRTC do Brave, opção anti-fuga do uBlock Origin). As configurações do navegador e os locais dos menus mudam entre versões — verifique os nomes das opções atuais no seu navegador. A VPNSmith publica este conteúdo para fins educacionais.

A no-logs VPN, independently audited → Proton VPNSwiss privacy · open-source apps · free tier→