Hvis du bruger Tor Browser, du skal få den seneste opdatering med det samme. Tor Browser 10.0.18 løser en række problemer, hvoraf den ene er en sårbarhed, der kan give websteder mulighed for at spore brugere ved at fingeraftrykke deres installerede apps.
Sårbarhed ved oversvømmelse af ordningen er løst i Tor Browser 10.0.18
Sårbarheden blev afsløret i sidste måned af FingerprintJS. Virksomheden definerede spørgsmålet som en “oversvømmelse af ordningen,”Muliggør brugersporing på tværs af forskellige browsere ved hjælp af de apps, der er installeret på brugernes enheder.
”I vores forskning i teknikker til bekæmpelse af svig, vi har opdaget en sårbarhed, der gør det muligt for websteder at identificere brugere pålideligt på tværs af forskellige desktop-browsere og linke deres identiteter sammen. Desktopversionerne af Tor Browser, Safari, Krom, og Firefox er alle berørt,”Sagde FingerprintJSs Konstantin Darutkin i en artikel, der beskriver opdagelsen.
Forskerne besluttede at henvise til fejlen som skemaoversvømmelse, da det bruger tilpassede URL-ordninger som en angrebsvektor. Sårbarheden bruger også oplysninger om de installerede apps på en brugers computer, så den tildeler en permanent unik identifikator, hvis brugeren skifter browser, bruger inkognitotilstand, eller en VPN.
Selvom problemet med oversvømmelse af ordningen påvirker flere browsere, det ser ud til at være særlig bekymrende for Tor-brugere. Årsagen er enkel - Tor-brugere stoler på browseren for at beskytte deres identitet og IP-adresse, mens denne sårbarhed tillader brugersporing på tværs af forskellige browsere. Det kunne også gøre det muligt for forskellige websteder og enheder at spore brugerens rigtige IP-adresse, når de skifter til en "almindelig" browser som Chrome eller Firefox.
Heldigvis, sårbarheden er behandlet i Tor Browser 10.0.18. Det er nysgerrig at nævne, at Tor-projektet løste privatlivsfejlen ved at indstille 'network.protocol-handler.external’ indstilling til falsk.
I februar 2021, en anden privatlivsfejl relateret til den indbyggede Tor-tilstand blev patchet i Brave-browseren. Fejlen blev set af bugjæger kendt som xiaoyinl, og rapporteret til Brave via sit HackerOne bug bounty-program. Brave-browseren har været berømt for sin indbyggede Tor-funktion. Men, privatlivstilstanden, som skulle tillade anonym browsing på det mørke web, begyndte at lække .onion-domænerne til DNS-servere, der er konfigureret til ikke-Tor-websteder. Dette kan derefter give DNS-operatørerne eller andre trusselsaktører mulighed for at afsløre de skjulte tjenester, som brugeren krævede.
Ikke første gang Tor-browseren bliver udsat for brugers fingeraftryk
I marts 2016, uafhængig sikkerhedsforsker Jose Carlos Norte opdagede også det Tor-brugere kunne blive fingeraftryk. Brugerfingeraftryk illustrerer måderne til at spore forskellige operationer og detaljer om brugerens online vaner.
Som påpeget af Norte, fingeraftryk er specielt truer med at Tor brugeren, da data er lagret, mens han surfer på nettet (gennem Tor) kan senere sammenlignes med data fra brugerens almindelig browser. Dette er hvad forskeren sagde for flere år siden:
Et fælles problem, tor browseren forsøger at løse, er brugerens fingeraftryk. Hvis et websted er i stand til at generere et unikt fingeraftryk, der identificerer hver bruger, der kommer ind på siden, så er det muligt at spore aktiviteten af denne bruger i gang, for eksempel, korrelere besøg af brugeren under et helt år, vel vidende, at det er den samme bruger. Eller endnu værre, det kunne være muligt at identificere brugeren, hvis fingeraftryk er den samme i tor browser og i den normale browser bruges til at gennemse internettet. Det er meget vigtigt for tor browser for at forhindre ethvert forsøg på fingeraftryk brugeren.
Forskeren skitserede også flere metoder, hvorigennem Tor-brugere kunne blive fingeraftryk, såsom musens hastighed fingeraftryk og afbrydelse af en CPU-intensiv JavaScript-handling i browseren.