Sårbarhet i TorMoil påvirker også FireFox Proxy-utvidelser

Folk som bruker Tor anonymitetsleser på Mac- eller Linux-maskiner blir advart om å oppdatere Tor-nettleseren. Det er funnet en sårbarhet i nettleseren. Det lar angripere oppdage de virkelige IP-adressene til antatt anonyme Tor-brukere. Sårbarheten ble oppdaget av en italiensk sikkerhetsforsker kalt Filippo Cavallarin.

TorMoil kan bare utnyttes på Linux- og Mac-maskiner. Utnyttelsen er forårsaket av en Firefox-sårbarhet som ble overført til Tor-nettleseren (som er basert på Firefox).

Hvordan fungerer Tor?

Når du kobler deg til Tor-nettverket, kobles trafikken til en rekke frivillige datamaskiner over hele verden. Trafikken kommer inn via en "inngangsvakt", reiser til forskjellige "noder", og går deretter ut via en "avkjøringsnode." Totalt er det rundt 7000 frivillige datamaskiner som holder Tor anonymitetsnettverket oppe og går.

På grunn av måten Tor fungerer på, er det bare inngangsvaktnoden som kjenner brukerens sanne IP-adresse. I tillegg er det bare avkjøringsnoden som vet hvor trafikken går. På grunn av kretsen for noder som trafikken går gjennom (mellom inn- og utkjøringsnodene), er det nesten umulig for noen å spore Tor-pakker og finne ut hvem som gjør hva på nettet.

Dessverre for Tor-brukere på Linux og Mac-maskiner, betyr TorMoil at dette systemet kan angripes og deres sanne IP-adresser blir oppdaget. For disse brukerne er sårbarheten veldig knyttet til fordi en IP-adresse er nok til å avsløre deres sanne beliggenhet og identitet.

Den gode nyheten er at sårbarheten på null dager nå er blitt midlertidig oppdatert av Tor-utviklere (Tor versjon 7.0.8 og nyere). Linux- og Mac-brukere oppfordres til å oppdatere Tor-nettleseren for å beskytte seg mot den kritiske feilen.

Slik fungerer TorMoil

Den italienske sikkerhetsforskeren har avslørt at TorMoil kan få Mac- og Linux-systemer til å lekke sin virkelige IP-adresse når visse typer nettadresser blir besøkt. Spesielt utsetter sikkerhetsproblemet brukere når de får tilgang til webadresser og lenker som begynner med fil: //

I følge en blogg av sikkerhetsfirmaet We Are Segment, når Tor-nettleseren åpner lenker som begynner med filen: // prefiks, "operativsystemet kan koble seg direkte til den eksterne verten ved å omgå Tor Browser." Dette tillater en angriper som utnytter TorMoil for å oppdage brukerens virkelige IP-adresse. Tor-utviklere sier at den midlertidige løsningen kan føre til at Tor blir litt feil når brukere besøker fil: // adresser:

"Reparasjonen vi distribuerte er bare en løsning som stopper lekkasjen. Som et resultat av den navigerende filen: // URL-er i nettleseren fungerer kanskje ikke som forventet lenger. Spesielt å legge inn fil: // URLer i URL-linjen og klikke på resulterende koblinger er ødelagt. Åpne de i en ny fane eller nytt vindu fungerer ikke. En løsning på disse problemene er å dra lenken til URL-linjen eller til en fane i stedet. Vi sporer denne oppfølgingsregresjonen i bug 24136."

Den gode nyheten er at Windows-brukere ved denne anledningen ikke blir berørt av sårbarheten. Tor-utviklere har bekreftet at verken Windows-versjonene av Tor, Tails eller sandkassen Tor-nettleseren (for tiden i alfa) er sårbare.

Hvem annet kan bli berørt?

Cavallarin oppdaget sårbarheten i oktober. På det tidspunktet klarte han å tvinge Firefox på Linux og Mac til å bla direkte, til tross for at han ble bedt om ikke å gjøre det. Han innså at sårbarheten betydde at nettkriminelle kunne sende brukere en ondskapsfull lenke som tvinger Firefox til å sende sporbare pakker med informasjon. På grunn av det faktum at Tor-nettleseren var designet fra en originalversjon av Firefox, innså Cavallarin raskt at utnyttelsen var kritisk og kontaktet Tor.

Selv om dette sikkerhetsproblemet er koblet til Tor midlertidig, har foreløpig ikke Firefox utstedt en løsning. Dette betyr at Firefox-brukere som bruker Virtual Private Network (VPN) nettleserutvidelser (ikke dedikerte operativsystemnivå VPN-er, som er fine) og proxy-plugins, også er sårbare for dette angrepet. Cavallarin sa til meg:

Firefox er også berørt, og dev-teamet jobber med en endelig løsning for både Firefox og Tor Browser. Poenget er: Tor Browser utstedte en midlertidig løsning siden de trengte å frigjøre en patch ASAP mens Firefox-teamet fremdeles jobber med reparasjonen. Så ja, Firefox-brukere som bruker VPN- eller Proxy-utvidelser blir berørt. Dette er grunnen til at vi ikke ga ut all informasjonen og utnyttet koden. Utgivelsesnotatet til Tor Browser kobler til Mozilla bug tracker som ble brukt til å håndtere denne feilen, men koblingen er ikke offentlig ennå.

Fortsatt sårbart

Som sådan bør Firefox-brukere (på operativsystemene Linux og Mac) se etter den kommende Firefox-ordningen for sårbarheten. Det er foreløpig ikke kjent når denne oppdateringen vil bli tilgjengelig, så brukerne må være klar over at Firefox-personvernutvidelsene deres kan omgås denne utnyttelsen, og avsløre deres sanne IP-adresse.

Dessuten refererer noen VPN-leverandører feilaktig til nettleserens proxy-utvidelser som VPN-er (som er feil og enormt forvirrende for forbrukerne). Hvis VPN-en din kjører i Firefox-nettleseren din (i motsetning til å bruke en tilpasset VPN-klient), er det mulig at Firefox-utvidelsen din er sårbar for angrep. Du har blitt advart.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me