Хората, които използват браузъра за анонимност на Tor на Mac или Linux машини, се предупреждават да актуализират своя браузър Tor. В браузъра е открита уязвимост. Тя позволява на нападателите да открият истинските IP адреси на уж анонимните потребители на Tor. Уязвимостта е открита от италиански изследовател по сигурността, наречен Филипо Каваларин.


TorMoil се използва само на Linux и Mac машини. Експлоатацията е причинена от уязвимостта на Firefox, която се пренесе напред в браузъра Tor (която е базирана на Firefox).

Как работи Тор?

Когато се свържете с мрежата Tor, вашият трафик се свързва с редица доброволчески компютри по целия свят. Трафикът влиза чрез „охрана за влизане“, пътува до различни „възли“, след което излиза през „изходен възел“. Общо има около 7000 доброволчески компютъра, поддържащи и работещи мрежата за анонимност на Tor.

Поради начина, по който Tor работи, само възелът за защита на влизане знае истинския IP адрес на потребителя. Освен това само възловият възел знае къде отива трафикът. Поради веригата от възли, през които трафикът преминава (между възлите за влизане и излизане), е почти невъзможно някой да проследи пакетите Tor и да разбере кой прави какво онлайн.

За съжаление за потребителите на Tor на Linux и Mac машини, TorMoil означава, че тази система може да бъде атакувана и да бъдат открити истинските им IP адреси. За тези потребители уязвимостта е изключително загрижена, тъй като IP адрес е достатъчен, за да разкрие истинското им местоположение и идентичност.

Добрата новина е, че уязвимостта с нулев ден вече е временно закърпена от разработчиците на Tor (версия на Tor 7.0.8 и по-нова версия). Потребителите на Linux и Mac се призовават да актуализират своя браузър Tor, за да се защитят от критичния недостатък.

Как работи TorMoil

Италианският изследовател по сигурността разкри, че TorMoil може да накара Mac и Linux системите да изтекат реалния си IP адрес, когато се посещават определени видове уеб адреси. По-конкретно, уязвимостта излага потребителите, когато имат достъп до уеб адреси и връзки, които започват с файл: //

Според блог на охранителната фирма We Are Segment, когато браузърът Tor отваря връзки, които започват с файла: // префикс, "операционната система може директно да се свърже с отдалечения хост, заобикаляйки Tor Browser." Това позволява на атакуващ, използващ TorMoil, да открие истинския IP адрес на потребителя. Разработчиците на Tor казват, че временното решение може да доведе до това, че Tor е малко бъг, когато потребителите посещават файл: // адреси:

"Поправката, която разгърнахме, е просто решение за спиране на теча. В резултат на този навигационен файл: // URL адреси в браузъра може да не работят както се очаква. По-специално въвеждането на файл: // URL адреси в URL лентата и щракване върху получените връзки е нарушено. Отварянето на тези в нов раздел или нов прозорец също не работи. Преодоляване на тези проблеми е преместването на връзката в URL лентата или в раздел. Проследяваме тази последваща регресия в бъг 24136."

Добрата новина е, че по този повод потребителите на Windows не са засегнати от уязвимостта. Разработчиците на Tor потвърдиха, че нито версиите на Windows на Tor, Tails, нито пясъчният браузър Tor (понастоящем в алфа) са уязвими.

Кой друг може да бъде засегнат?

Cavallarin откри уязвимостта през октомври. По това време той успява да принуди Firefox на Linux и Mac да разглеждат директно, въпреки че му беше казано да не го прави. Той разбра, че уязвимостта означава, че киберпрестъпниците могат да изпращат на потребителите злонамерена връзка, която принуждава Firefox да изпраща следи пакети информация. Поради факта, че браузърът Tor е проектиран от оригинална версия на Firefox, Cavallarin бързо разбра, че експлоатацията е критична и се свърза с Tor.

Въпреки че тази уязвимост е временно включена в Tor, в момента Firefox не е издал поправка. Това означава, че потребителите на Firefox, които използват разширения на браузъра за виртуална частна мрежа (VPN) (не специализирани VPN на ниво операционна система, които са добре) и прокси плъгини, също са уязвими за тази атака. Каваларин ми каза:

Firefox също е засегнат и екипът на разработчиците работи по окончателно поправяне както на Firefox, така и на Tor Browser. Въпросът е: Tor Browser издаде временно решение, тъй като те трябваше да пуснат кръпка ASAP, докато екипът на Firefox все още работи по поправката. Така че да, потребителите на Firefox, използващи разширения VPN или Proxy, са засегнати. Това е причината, поради която не пуснахме цялата информация и кода за експлоатация. Бележката за версията на връзката на браузъра Tor към проследяващия бъг на Mozilla, използвана за управление на тази грешка, но връзката все още не е публична.

Все още уязвима

Като такива, потребителите на Firefox (на операционни системи Linux и Mac) трябва да внимават за предстоящото поправяне на Firefox за уязвимостта. Понастоящем не е известно кога тази актуализация ще стане достъпна, така че потребителите трябва да знаят, че техните разширения за поверителност на Firefox могат да бъдат заобиколени с този експлоатация, излагайки истинския им IP адрес.

Нещо повече, някои доставчици на VPN погрешно наричат ​​разширенията на прокси сървъра си като VPN (което е неправилно и много объркващо за потребителите). Ако вашият VPN работи в браузъра ви Firefox (за разлика от използването на персонализиран VPN клиент), тогава е възможно вашето разширение Firefox да е уязвимо за атака. Предупреден си.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me