TorMoil-haavoittuvuus vaikuttaa myös FireFox Proxy -laajennuksiin

Ihmisiä, jotka käyttävät Tor-nimettömää selainta Mac- tai Linux-koneissa, kehotetaan päivittämään Tor-selaimensa. Selaimesta on löydetty haavoittuvuus. Se antaa hyökkääjille mahdollisuuden löytää nimettömien Tor-käyttäjien todelliset IP-osoitteet. Haavoittuvuuden havaitsi italialainen turvallisuustutkija nimeltään Filippo Cavallarin.


TorMoil on hyödynnettävissä vain Linux- ja Mac-koneissa. Hyödyntäminen johtuu Firefox-haavoittuvuudesta, joka siirrettiin Tor-selaimeen (joka perustuu Firefoxiin).

Kuinka Tor toimii?

Kun muodostat yhteyden Tor-verkkoon, liikenteesi yhdistää useisiin vapaaehtoisiin tietokoneisiin ympäri maailmaa. Liikenne tulee ”sisäänpääsyvahdin” kautta, kulkee eri “solmuihin” ja poistuu sitten “poistosolmun” kautta. Kaikkiaan on noin 7000 vapaaehtoista tietokonetta, jotka pitävät Tor-nimettömän verkon toiminnassa ja käynnissä.

Torin toimintatavan vuoksi vain sisäänpääsynsolmu tietää käyttäjän todellisen IP-osoitteen. Lisäksi vain poistosolmu tietää missä liikenne on menossa. Liikenteen läpi kulkevien solmupiirien takia (tulo- ja poistosolmujen välillä) kukaan on melkein mahdotonta jäljittää Tor-paketteja ja selvittää kuka tekee mitä verkossa.

Valitettavasti Linux- ja Mac-koneiden Tor-käyttäjille TorMoil tarkoittaa, että tätä järjestelmää voidaan hyökätä ja heidän todelliset IP-osoitteensa löytää. Näille käyttäjille haavoittuvuus on erittäin huolestuttava, koska IP-osoite riittää paljastamaan heidän todellisen sijaintinsa ja identiteettinsä.

Hyvä uutinen on, että Tor-kehittäjät ovat nyt tilapäisesti korjannut nollapäivän haavoittuvuuden (Tor-versio 7.0.8 ja uudemmat). Linuxin ja Macin käyttäjiä kehotetaan päivittämään Tor-selaimensa suojautuakseen kriittisiltä virheiltä.

Kuinka TorMoil toimii

Italialainen tietoturvatutkija on paljastanut, että TorMoil voi aiheuttaa Mac- ja Linux-järjestelmien vuotamisen todellisesta IP-osoitteestaan, kun tietyntyyppisiä verkko-osoitteita käydään. Erityisesti haavoittuvuus paljastaa käyttäjät, kun he pääsevät verkko-osoitteisiin ja linkkeihin, jotka alkavat tiedostolla: //

Turvayrityksen We Are Segment blogin mukaan Tor-selain avaa linkit, jotka alkavat tiedostolla: // etuliite, "käyttöjärjestelmä voi muodostaa yhteyden suoraan etäisäntään ohittamalla Tor-selaimen." Tämä antaa TorMoilia hyödyntävän hyökkääjän löytää käyttäjän todellisen IP-osoitteen. Tor-kehittäjät sanovat, että väliaikainen kiertotapa voi aiheuttaa Torin olevan hieman viallinen, kun käyttäjät käyvät tiedostossa: // osoitteet:

"Käytetty korjaus on vain kiertotapa, joka pysäyttää vuodon. Tämän navigointitiedoston seurauksena: // selaimen URL-osoitteet eivät ehkä enää toimi odotetulla tavalla. Erityisesti tiedoston: // URL-osoitteiden syöttäminen URL-palkkiin ja tuloksena olevien linkkien napsauttaminen on rikki. Niiden avaaminen uudessa välilehdessä tai uudessa ikkunassa ei myöskään toimi. Näiden ongelmien kiertotapa on vetämällä linkki URL-palkkiin tai välilehdelle. Seuraamme tätä seurannan taantumista virheessä 24136."

Hyvä uutinen on, että haavoittuvuus ei tällä kertaa vaikuta Windows-käyttäjiin. Tor-kehittäjät ovat vahvistaneet, että Tor-, Tails- tai hiekkalaatikolla varustetun Tor-selaimen (tällä hetkellä alfa) Windows-versiot eivät ole haavoittuvia.

Kuka muuhun saattaa vaikuttaa?

Cavallarin havaitsi haavoittuvuuden lokakuussa. Tuolloin hän onnistui pakottamaan Firefoxin Linuxissa ja Macissa selaamaan suoraan, huolimatta siitä, että käskettiin kieltäytyä. Hän tajusi, että haavoittuvuus tarkoitti, että verkkorikolliset voivat lähettää käyttäjille väärinkäyttäjän linkin, joka pakottaa Firefoxin lähettämään jäljitettäviä tietopaketteja. Koska Tor-selain oli suunniteltu alkuperäisestä Firefox-versiosta, Cavallarin huomasi nopeasti, että hyväksikäyttö oli kriittistä, ja otti yhteyttä Toriin.

Vaikka tämä haavoittuvuus on kytketty väliaikaisesti Toriin, Firefox ei ole tällä hetkellä julkaissut korjausta. Tämä tarkoittaa, että Firefox-käyttäjät, jotka käyttävät VPN-selainlaajennuksia (ei erillisiä käyttöjärjestelmätason VPN: ää, jotka ovat hienoja) ja välityspalvelinlaajennukset, ovat myös alttiita tälle hyökkäykselle. Cavallarin kertoi minulle:

Vaikutus on myös Firefoxiin, ja dev-tiimi työskentelee lopullisen korjauksen löytämiseksi sekä Firefoxille että Tor Browserille. Asia on seuraava: Tor-selain antoi väliaikaisen kiertotavan, koska heidän piti vapauttaa korjaustiedosto ASAP, kun Firefox-tiimi työskentelee edelleen korjauksen kanssa. Joten kyllä, tämä koskee VPN- tai Proxy-laajennuksia käyttäviä Firefox-käyttäjiä. Tästä syystä emme vapauttaneet kaikkia tietoja ja hyödyntäneet koodia. Tor-selaimen julkaisulinkki Mozilla-vianseurantaan, jota käytetään tämän virheen hallintaan, mutta linkki ei ole vielä julkinen.

Silti haavoittuvainen

Sellaisena Firefox-käyttäjien (Linux- ja Mac-käyttöjärjestelmissä) tulisi etsiä tulevaa Firefox-korjausta haavoittuvuuden suhteen. Tällä hetkellä ei tiedetä, milloin päivitys tulee saataville, joten käyttäjien on tiedettävä, että heidän Firefox-tietosuojalaajennuksensa voidaan ohittaa tämän hyödyntämisen avulla, paljastaen heidän todellisen IP-osoitteen.

Lisäksi jotkut VPN-palveluntarjoajat viittaavat virheellisesti selaimen välityspalvelinlaajennuksiin VPN-tiedostoina (mikä on vääriä ja hämmentävää kuluttajille). Jos VPN on käynnissä Firefox-selaimessa (toisin kuin mukautetun VPN-asiakkaan käyttäminen), on mahdollista, että Firefox-laajennuksesi on alttiina hyökkäyksille. Sinua on varoitettu.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me