La vulnerabilità di TorMoil influisce anche sulle estensioni proxy FireFox

Le persone che utilizzano il browser di anonimato Tor su macchine Mac o Linux vengono avvisate di aggiornare il proprio browser Tor. È stata rilevata una vulnerabilità nel browser. Consente agli aggressori di scoprire i veri indirizzi IP di utenti Tor apparentemente anonimi. La vulnerabilità è stata scoperta da un ricercatore di sicurezza italiano chiamato Filippo Cavallarin.

TorMoil è sfruttabile solo su macchine Linux e Mac. L'exploit è causato da una vulnerabilità di Firefox che è stata portata avanti nel browser Tor (che si basa su Firefox).

Come funziona Tor?

Quando ti connetti alla rete Tor, il tuo traffico si connette a numerosi computer volontari in tutto il mondo. Il traffico entra attraverso una "guardia di accesso", si dirige verso vari "nodi", quindi esce attraverso un "nodo di uscita". In totale, ci sono circa 7000 computer volontari che mantengono attiva la rete di anonimato Tor.

A causa del modo in cui funziona Tor, solo il nodo di guardia di entrata conosce il vero indirizzo IP dell'utente. Inoltre, solo il nodo di uscita sa dove sta andando il traffico. A causa del circuito di nodi che attraversa il traffico (tra i nodi di entrata e di uscita), è quasi impossibile per chiunque rintracciare i pacchetti Tor e capire chi sta facendo cosa online.

Purtroppo per gli utenti Tor su macchine Linux e Mac, TorMoil significa che questo sistema può essere attaccato e scoperto i loro veri indirizzi IP. Per quegli utenti, la vulnerabilità è estremamente preoccupante perché un indirizzo IP è sufficiente per rivelare la loro vera posizione e identità.

La buona notizia è che la vulnerabilità zero-day è stata temporaneamente riparata dagli sviluppatori Tor (Tor versione 7.0.8 e successive). Agli utenti Linux e Mac viene richiesto di aggiornare il proprio browser Tor al fine di proteggersi dal difetto critico.

Come funziona TorMoil

Il ricercatore di sicurezza italiano ha rivelato che TorMoil può far sì che i sistemi Mac e Linux perdano il loro reale indirizzo IP quando vengono visitati determinati tipi di indirizzi web. In particolare, la vulnerabilità espone gli utenti quando accedono a indirizzi Web e collegamenti che iniziano con file: //

Secondo un blog della società di sicurezza We Are Segment, quando il browser Tor apre collegamenti che iniziano con il file: // prefisso, "il sistema operativo può connettersi direttamente all'host remoto, bypassando Tor Browser." Ciò consente a un utente malintenzionato che sfrutta TorMoil di scoprire l'indirizzo IP reale dell'utente. Gli sviluppatori di Tor affermano che la soluzione temporanea potrebbe causare a Tor un po 'di bug quando gli utenti visitano file: // indirizzi:

"La correzione che abbiamo implementato è solo una soluzione alternativa per arrestare la perdita. Come risultato di quel file di navigazione: // gli URL nel browser potrebbero non funzionare più come previsto. In particolare, inserendo il file: // URL nella barra degli URL e facendo clic sui collegamenti risultanti viene interrotto. L'apertura di quelli in una nuova scheda o nuova finestra non funziona neanche. Una soluzione alternativa per tali problemi consiste nel trascinare il collegamento nella barra dell'URL o in una scheda. Tracciamo questa regressione di follow-up nel bug 24136."

La buona notizia è che, in questa occasione, gli utenti Windows non sono interessati dalla vulnerabilità. Gli sviluppatori di Tor hanno confermato che né le versioni Windows di Tor, Tails, né il browser Tor in modalità sandbox (attualmente in versione alpha) sono vulnerabili.

Chi altrimenti potrebbe essere interessato?

Cavallarin ha scoperto la vulnerabilità in ottobre. A quel tempo, riuscì a forzare Firefox su Linux e Mac a navigare direttamente, nonostante gli fosse stato detto di non farlo. Si rese conto che la vulnerabilità significava che i criminali informatici potevano inviare agli utenti un link malevolo che costringe Firefox a inviare pacchetti di informazioni tracciabili. A causa del fatto che il browser Tor è stato progettato da una versione originale di Firefox, Cavallarin ha rapidamente capito che l'exploit era fondamentale e ha contattato Tor.

Sebbene questa vulnerabilità sia stata temporaneamente inserita in Tor, al momento Firefox non ha rilasciato una correzione. Ciò significa che anche gli utenti di Firefox che utilizzano le estensioni del browser Virtual Private Network (VPN) (non VPN a livello di sistema operativo dedicato, che vanno bene) e i plugin proxy sono vulnerabili a questo attacco. Cavallarin mi ha detto:

Anche Firefox è interessato e il team di sviluppo sta lavorando a una soluzione definitiva per Firefox e Tor Browser. Il punto è: Tor Browser ha emesso una soluzione temporanea in quanto aveva bisogno di rilasciare una patch al più presto mentre il team di Firefox sta ancora lavorando alla correzione. Quindi sì, gli utenti di Firefox che utilizzano le estensioni VPN o proxy sono interessati. Questo è il motivo per cui non abbiamo rilasciato tutte le informazioni e sfruttato il codice. La nota di rilascio di Tor Browser si collega al tracker di bug di Mozilla usato per gestire questo bug, ma il collegamento non è ancora pubblico.

Ancora vulnerabile

Pertanto, gli utenti di Firefox (su sistemi operativi Linux e Mac) dovrebbero cercare la prossima correzione di Firefox per la vulnerabilità. Al momento non è noto quando tale aggiornamento sarà disponibile, quindi gli utenti devono essere consapevoli che le loro estensioni per la privacy di Firefox potrebbero essere aggirate con questo exploit, esponendo il loro vero indirizzo IP.

Inoltre, alcuni provider VPN fanno erroneamente riferimento alle estensioni proxy del browser come VPN (che è errato e estremamente confuso per i consumatori). Se la tua VPN è in esecuzione nel tuo browser Firefox (invece di utilizzare un client VPN personalizzato), è possibile che l'estensione di Firefox sia vulnerabile agli attacchi. Sei stato avvertito.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me