Sårbarhed i TorMoil påvirker også FireFox-proxyudvidelser

Folk, der bruger Tor-anonymitetsbrowser på Mac- eller Linux-maskiner, advares om at opdatere deres Tor-browser. Der er fundet en sårbarhed i browseren. Det giver angribere mulighed for at opdage de ægte IP-adresser for angiveligt anonyme Tor-brugere. Sårbarheden blev opdaget af en italiensk sikkerhedsforsker kaldet Filippo Cavallarin.

TorMoil kan kun udnyttes på Linux- og Mac-maskiner. Udnyttelsen er forårsaget af en Firefox-sårbarhed, der blev overført til Tor-browseren (som er baseret på Firefox).

Hvordan fungerer Tor?

Når du opretter forbindelse til Tor-netværket, opretter din trafik forbindelse til et antal frivillige computere overalt i verden. Trafikken indtastes via en "indgangsvagt", rejser til forskellige "knudepunkter" og afslutter derefter via en "exit-knude." I alt er der omkring 7.000 frivillige computere, der holder Tor-anonymitetsnetværket ope og kører.

På grund af den måde, som Tor fungerer, kender kun indgangsvagtnoden brugerens ægte IP-adresse. Derudover er det kun exit-noden, der ved, hvor trafikken går. På grund af kredsløbet af knudepunkter, som trafikken passerer (mellem ind- og udgangsknudepunkter), er det næsten umuligt for nogen at spore Tor-pakker og finde ud af, hvem der laver, hvad der er online.

Desværre for Tor-brugere på Linux og Mac-maskiner betyder TorMoil, at dette system kan blive angrebet og deres ægte IP-adresser opdaget. For disse brugere vedrører sårbarheden enormt, fordi en IP-adresse er nok til at afsløre deres ægte placering og identitet.

Den gode nyhed er, at nul-dages sårbarhed nu er blevet midlertidigt opdateret af Tor-udviklere (Tor version 7.0.8 og nyere). Linux- og Mac-brugere opfordres til at opdatere deres Tor-browser for at beskytte sig mod den kritiske fejl.

Sådan fungerer TorMoil

Den italienske sikkerhedsforsker har afsløret, at TorMoil kan få Mac- og Linux-systemer til at lække deres rigtige IP-adresse, når visse typer webadresser besøges. Konkret udsætter sårbarheden brugere, når de får adgang til webadresser og links, der begynder med fil: //

Ifølge en blog fra sikkerhedsfirmaet We Are Segment, når Tor-browseren åbner links, der starter med filen: // præfiks, "operativsystemet kan muligvis direkte oprette forbindelse til den eksterne vært ved at omgå Tor Browser." Dette tillader en hacker, der udnytter TorMoil til at finde brugerens reelle IP-adresse. Tor-udviklere siger, at den midlertidige løsning kan få Tor til at være en smule buggy, når brugerne besøger fil: // adresser:

"Den løsning, vi implementerede, er bare en løsning, der stopper lækagen. Som et resultat af denne navigationsfil: // URL'er i browseren fungerer muligvis ikke som forventet. Især indtastning af fil: // URL-adresser i URL-linjen og klik på de resulterende links er ødelagt. Åbning af dem i en ny fane eller nyt vindue fungerer heller ikke. En løsning på disse problemer trækkes i stedet linket i URL-linjen eller på en fane. Vi sporer denne opfølgningsregression i bug 24136."

Den gode nyhed er, at Windows-brugere ved denne lejlighed ikke påvirkes af sårbarheden. Tor-udviklere har bekræftet, at hverken Windows-versionerne af Tor, Tails eller den sandkasserede Tor-browser (i øjeblikket i alfa) er sårbare.

Hvem kan ellers påvirkes?

Cavallarin opdagede sårbarheden i oktober. På det tidspunkt lykkedes han at tvinge Firefox på Linux og Mac til at gennemse direkte, på trods af at han blev bedt om ikke at gøre det. Han indså, at sårbarheden betød, at cyber-kriminelle kunne sende brugerne et ondsindet link, der tvinger Firefox til at sende sporbare pakker med information. På grund af det faktum, at Tor-browseren var designet fra en original version af Firefox, indså Cavallarin hurtigt, at udnyttelsen var kritisk, og kontaktede Tor.

Selvom denne sårbarhed er midlertidigt tilsluttet Tor, har Firefox i øjeblikket ikke udstedt en rettelse. Dette betyder, at Firefox-brugere, der bruger VPN-browserudvidelser (ikke private dedikerede operativsystemniveauer, som er fine) og proxy-plugins, også er sårbare over for dette angreb. Cavallarin fortalte mig:

Firefox påvirkes også, og dev-teamet arbejder på en endelig løsning til både Firefox og Tor Browser. Pointen er: Tor Browser udstedte en midlertidig løsning, da de havde brug for at frigive en patch ASAP, mens Firefox-teamet stadig arbejder på rettelsen. Så ja, Firefox-brugere, der bruger VPN- eller Proxy-udvidelser, påvirkes. Dette er grunden til, at vi ikke frigav alle oplysninger og udnyttelseskode. Tor-browsers frigørelseslink linker til Mozilla-bug tracker, der bruges til at håndtere denne fejl, men linket er ikke offentligt endnu.

Stadig sårbart

Som sådan skal Firefox-brugere (på operativsystemerne Linux og Mac) kigge efter den kommende Firefox-rettelse for sårbarheden. Det vides ikke i øjeblikket, hvornår denne opdatering bliver tilgængelig, så brugere skal være opmærksomme på, at deres Firefox-udvidelser med personlige oplysninger kan omgås med denne udnyttelse, hvor de udsættes for deres rigtige IP-adresse.

Hvad mere er, nogle VPN-udbydere refererer fejlagtigt til deres browser-proxy-udvidelser som VPN'er (hvilket er forkert og enormt forvirrende for forbrugerne). Hvis din VPN kører i din Firefox browser (i modsætning til at bruge en brugerdefineret VPN-klient), er det muligt, at din Firefox-udvidelse er sårbar overfor angreb. Du er blevet advaret.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me