TorMoil-sårbarhet påverkar också FireFox Proxy-förlängningar

Personer som använder Tor anonymitet webbläsare på Mac eller Linux-maskiner uppmanas att uppdatera sin Tor webbläsare. Det finns en sårbarhet i webbläsaren. Det gör att angripare kan upptäcka de verkliga IP-adresserna för förment anonyma Tor-användare. Sårbarheten upptäcktes av en italiensk säkerhetsforskare som heter Filippo Cavallarin.

TorMoil kan endast utnyttjas på Linux- och Mac-maskiner. Utnyttjandet orsakas av en Firefox-sårbarhet som överfördes till Tor-webbläsaren (som är baserad på Firefox).

Hur fungerar Tor?

När du ansluter till Tor-nätverket ansluter din trafik till ett antal frivilliga datorer runt om i världen. Trafiken går in via en "inträdesvakt", reser till olika "noder", sedan avgår via en "utgångsnod." Totalt finns det cirka 7000 volontärdatorer som håller Tor anonymitetsnätverk igång.

På grund av det sätt som Tor fungerar, är det bara postvaktnoden som känner användarens verkliga IP-adress. Dessutom är det bara utgångsnoden som vet vart trafiken går. På grund av kretsen för noder som trafiken passerar (mellan in- och utgångsnoderna) är det nästan omöjligt för någon att spåra Tor-paket och räkna ut vem som gör vad online.

Tyvärr för Tor-användare på Linux- och Mac-maskiner innebär TorMoil att detta system kan attackeras och deras verkliga IP-adresser upptäcks. För dessa användare beror sårbarheten mycket på eftersom en IP-adress räcker för att avslöja deras verkliga plats och identitet.

Den goda nyheten är att nolldagars sårbarheten nu tillfälligt har korrigerats av Tor-utvecklare (Tor version 7.0.8 och senare). Linux- och Mac-användare uppmanas att uppdatera sin Tor-webbläsare för att skydda sig mot den kritiska bristen.

Hur TorMoil fungerar

Den italienska säkerhetsforskaren har avslöjat att TorMoil kan få Mac- och Linux-system att läcka sin riktiga IP-adress när vissa typer av webbadresser besöks. Särskilt exponerar sårbarheten användare när de går in på webbadresser och länkar som börjar med fil: //

Enligt en blogg från säkerhetsföretaget We Are Segment, när Tor-webbläsaren öppnar länkar som börjar med prefixet fil: //, "operativsystemet kan direkt ansluta till fjärrvärden genom att kringgå Tor Browser." Detta tillåter en angripare som utnyttjar TorMoil för att upptäcka användarens verkliga IP-adress. Tor-utvecklare säger att den tillfälliga lösningen kan leda till att Tor är lite buggy när användare besöker fil: // adresser:

"Fixet vi implementerade är bara en lösning som stoppar läckan. Som ett resultat av den navigeringsfilen: // URL: er i webbläsaren kanske inte fungerar som förväntat längre. Speciellt att ange fil: // URL: er i URL-fältet och klicka på resulterande länkar är trasig. Att öppna dem i en ny flik eller nytt fönster fungerar inte heller. En lösning för dessa problem drar i stället länken till URL-fältet eller på en flik. Vi spårar denna uppföljningsregression i fel 24136."

Den goda nyheten är att Windows-användare vid det här tillfället inte påverkas av sårbarheten. Tor-utvecklare har bekräftat att varken Windows-versionerna av Tor, Tails eller den sandlådda Tor-webbläsaren (för närvarande i alfa) är sårbara.

Vem kan annars påverkas?

Cavallarin upptäckte sårbarheten i oktober. Vid den tiden lyckades han tvinga Firefox på Linux och Mac att bläddra direkt, trots att han fick höra att inte göra det. Han insåg att sårbarheten innebar att cyberbrottslingar kunde skicka användarna en ondskapsfull länk som tvingar Firefox att skicka spårbara paket med information. På grund av att Tor-webbläsaren var designad från en originalversion av Firefox, insåg Cavallarin snabbt att exploaten var kritisk och kontaktade Tor.

Även om denna sårbarhet tillfälligt har anslutits till Tor, har Firefox för tillfället inte utfärdat en korrigering. Detta innebär att Firefox-användare som använder VPN-tillägg (Virtual Private Network) (inte dedicerade VPN-operativsystemnivåer, som är bra) och proxy-plugins också är sårbara för denna attack. Cavallarin berättade för mig:

Firefox påverkas också och dev-teamet arbetar med en definitiv fix för både Firefox och Tor Browser. Poängen är: Tor Browser utfärdade en tillfällig lösning eftersom de behövde släppa en patch ASAP medan Firefox-teamet fortfarande arbetar med fixen. Så ja, Firefox-användare som använder VPN- eller Proxy-tillägg påverkas. Det är anledningen till att vi inte släppte all information och utnyttjade koden. Släppmeddelandet från Tor Browser länkar till Mozilla bug tracker som används för att hantera detta fel, men länken är inte offentlig ännu.

Fortfarande sårbart

Som sådant bör Firefox-användare (på operativsystem Linux och Mac) leta efter den kommande Firefox-fixen för sårbarheten. Det är för närvarande inte känt när den här uppdateringen kommer att bli tillgänglig, så användare måste vara medvetna om att deras Firefox-sekretessförlängningar kan kringgås med detta utnyttjande och avslöja deras riktiga IP-adress.

Dessutom hänvisar vissa VPN-leverantörer felaktigt till sina webbläsarens proxy-tillägg som VPN: n (vilket är felaktigt och enormt förvirrande för konsumenterna). Om din VPN körs i din Firefox-webbläsare (i motsats till att använda en anpassad VPN-klient), är det möjligt att din Firefox-förlängning är sårbar för attack. Du har blivit varnad.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me