TorMoil-beveiligingslek treft ook FireFox-proxy-extensies

Mensen die de Tor-anonimiteitsbrowser op Mac- of Linux-machines gebruiken, worden gewaarschuwd hun Tor-browser bij te werken. Er is een kwetsbaarheid in de browser gevonden. Hiermee kunnen aanvallers de echte IP-adressen van zogenaamd anonieme Tor-gebruikers ontdekken. Het beveiligingslek werd ontdekt door een Italiaanse beveiligingsonderzoeker genaamd Filippo Cavallarin.


TorMoil is alleen exploiteerbaar op Linux- en Mac-machines. Het misbruik wordt veroorzaakt door een kwetsbaarheid in Firefox die is overgedragen naar de Tor-browser (die is gebaseerd op Firefox).

Hoe werkt Tor??

Wanneer u verbinding maakt met het Tor-netwerk, maakt uw verkeer verbinding met een aantal vrijwillige computers over de hele wereld. Het verkeer komt binnen via een "toegangswacht", reist naar verschillende "knooppunten" en verlaat het vervolgens via een "uitgangsknooppunt". In totaal zijn er ongeveer 7.000 vrijwilligerscomputers die het Tor-anonimiteitsnetwerk actief houden.

Vanwege de manier waarop Tor werkt, weet alleen het toegangsbewakingsknooppunt het ware IP-adres van de gebruiker. Bovendien weet alleen het uitgangsknooppunt waar het verkeer naartoe gaat. Vanwege het circuit van knooppunten waar het verkeer doorheen gaat (tussen de ingangs- en uitgangsknooppunten), is het bijna onmogelijk voor iedereen om Tor-pakketten te traceren en erachter te komen wie wat online doet.

Helaas voor Tor-gebruikers op Linux- en Mac-machines betekent TorMoil dat dit systeem kan worden aangevallen en hun echte IP-adressen kunnen worden ontdekt. Voor die gebruikers is het beveiligingslek enorm omdat een IP-adres voldoende is om hun ware locatie en identiteit te onthullen.

Het goede nieuws is dat de zero-day kwetsbaarheid nu tijdelijk is hersteld door Tor-ontwikkelaars (Tor-versie 7.0.8 en later). Linux- en Mac-gebruikers worden aangespoord hun Tor-browser bij te werken om zichzelf te beschermen tegen de kritieke fout.

Hoe TorMoil werkt

De Italiaanse beveiligingsonderzoeker heeft onthuld dat TorMoil ervoor kan zorgen dat Mac- en Linux-systemen hun echte IP-adres lekken wanneer bepaalde soorten webadressen worden bezocht. In het bijzonder stelt het beveiligingslek gebruikers bloot wanneer zij toegang krijgen tot webadressen en koppelingen die beginnen met file: //

Volgens een blog van beveiligingsbedrijf We Are Segment, wanneer de Tor-browser koppelingen opent die beginnen met het bestand: // prefix, "het besturingssysteem kan rechtstreeks verbinding maken met de externe host, waarbij Tor Browser wordt omzeild." Hierdoor kan een aanvaller TorMoil exploiteren om het echte IP-adres van de gebruiker te ontdekken. Tor-ontwikkelaars zeggen dat de tijdelijke oplossing ervoor kan zorgen dat Tor een beetje fouten maakt wanneer gebruikers file: // adressen bezoeken:

"De oplossing die we hebben geïmplementeerd, is slechts een oplossing om het lek te verhelpen. Als gevolg van dat navigatiebestand werken // URL's in de browser mogelijk niet meer zoals verwacht. Met name het invoeren van file: // URL's in de URL-balk en het klikken op resulterende links is verbroken. Die openen in een nieuw tabblad of nieuw venster werkt ook niet. Een oplossing voor deze problemen is de link naar de URL-balk of naar een tabblad te slepen. We volgen deze vervolgregressie in bug 24136."

Het goede nieuws is dat Windows-gebruikers bij deze gelegenheid geen last hebben van het beveiligingslek. Tor-ontwikkelaars hebben bevestigd dat noch de Windows-versies van Tor, Tails, noch de Tor-browser in sandbox (momenteel in alfa) kwetsbaar zijn.

Wie anders kan worden getroffen?

Cavallarin ontdekte het beveiligingslek in oktober. Op dat moment slaagde hij erin om Firefox op Linux en Mac te dwingen om direct te bladeren, ondanks het feit dat hem dat werd verteld. Hij realiseerde zich dat het beveiligingslek betekende dat cybercriminelen gebruikers een kwaadaardige link konden sturen die Firefox dwong om traceerbare informatiepakketten te verzenden. Vanwege het feit dat de Tor-browser is ontworpen op basis van een originele versie van Firefox, besefte Cavallarin al snel dat de exploit kritisch was en nam contact op met Tor.

Hoewel dit beveiligingslek tijdelijk in Tor is ingeplugd, heeft Firefox momenteel geen fix uitgegeven. Dit betekent dat Firefox-gebruikers die gebruik maken van Virtual Private Network (VPN) browserextensies (geen speciale VPN's op besturingssysteemniveau, wat prima is) en proxy-plug-ins ook kwetsbaar zijn voor deze aanval. Cavallarin vertelde me:

Firefox wordt ook getroffen en het dev-team werkt aan een definitieve oplossing voor zowel Firefox als Tor Browser. Het punt is: Tor Browser heeft een tijdelijke oplossing uitgegeven omdat ze een patch zo snel mogelijk moesten uitbrengen terwijl het Firefox-team nog steeds aan de oplossing werkt. Dus ja, Firefox-gebruikers die VPN- of proxy-extensies gebruiken, worden beïnvloed. Dit is de reden waarom we niet alle informatie en exploitatiecode hebben vrijgegeven. De release-opmerking van Tor Browser-koppelingen naar de Mozilla-bugtracker die werd gebruikt om deze bug te beheren, maar de link is nog niet openbaar.

Nog steeds kwetsbaar

Daarom moeten Firefox-gebruikers (op Linux- en Mac-besturingssystemen) uitkijken naar de komende Firefox-oplossing voor het beveiligingslek. Het is momenteel niet bekend wanneer die update beschikbaar komt, dus gebruikers moeten zich ervan bewust zijn dat hun Firefox-privacy-extensies kunnen worden omzeild met deze exploit, waardoor hun ware IP-adres wordt onthuld.

Bovendien verwijzen sommige VPN-providers ten onrechte naar hun browser-proxy-extensies als VPN's (wat onjuist en enorm verwarrend is voor consumenten). Als uw VPN in uw Firefox-browser wordt uitgevoerd (in tegenstelling tot het gebruik van een aangepaste VPN-client), is het mogelijk dat uw Firefox-extensie kwetsbaar is voor aanvallen. Je bent gewaarschuwd.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me