Torブラウザを使用している場合, すぐに最新のアップデートを入手する必要があります. Torブラウザ 10.0.18 一連の問題を修正します, その1つは、サイトがインストール済みアプリのフィンガープリントを作成することでユーザーを追跡できる脆弱性です。.
Torブラウザで修正されたスキームフラッディングの脆弱性 10.0.18
脆弱性は先月FingerprintJSによって開示されました. 同社はこの問題を「スキームフラッディング」と定義しました,」ユーザーのデバイスにインストールされているアプリを使用して、さまざまなブラウザでユーザーの追跡を可能にする.
「不正防止技術に関する私たちの研究では, Webサイトがさまざまなデスクトップブラウザ間でユーザーを確実に識別し、それらのIDをリンクできる脆弱性を発見しました. TorBrowserのデスクトップバージョン, サファリ, クロム, とFirefoxはすべて影響を受けます,」とFingerprintJSのKonstantinDarutkinは 発見の詳細を記した記事.
研究者たちは、この欠陥をスキームフラッディングと呼ぶことにしました, カスタムURLスキームを攻撃ベクトルとして利用しているため. この脆弱性は、ユーザーのコンピューターにインストールされているアプリに関する情報も使用するため、ユーザーがブラウザーを切り替えた場合に備えて、永続的な一意の識別子が割り当てられます。, シークレットモードを使用, またはVPN.
スキームフラッディングの問題はいくつかのブラウザに影響しますが, 特にTorユーザーにとっては気になるようです. 理由は簡単です–Torユーザーは自分のIDとIPアドレスを保護するためにブラウザーに依存しています, この脆弱性により、ユーザーはさまざまなブラウザ間で追跡できます. また、さまざまなサイトやエンティティが、ChromeやFirefoxなどの「通常の」ブラウザに切り替えたときにユーザーの実際のIPアドレスを追跡できるようにすることもできます。.
幸運, この脆弱性はTorブラウザで対処されています 10.0.18. Torプロジェクトが'network.protocol-handler.externalを設定することでプライバシーのバグを修正したことに言及するのは不思議です’ falseに設定.
2月中 2021, 関連する別のプライバシーバグ 内蔵のTorモード ブレイブブラウザでパッチが適用されました. バグはxiaoyinlとして知られているバグハンターによって発見されました, HackerOneバグバウンティプログラムを介してBraveに報告されました. ブレイブブラウザは、組み込みのTor機能で有名です. でも, ダークウェブでの匿名ブラウジングを許可するプライバシーモードは、Tor以外のウェブサイト用に構成されたDNSサーバーに.onionドメインをリークし始めました. これにより、DNSオペレーターまたは他の脅威アクターが、ユーザーが必要とする隠されたサービスを明らかにすることができます。.
Torブラウザがユーザーの指紋認証を受けやすいことが判明したのは初めてではありません
3月 2016, 独立したセキュリティ研究者のJoseCarlosNorteも、次のことを発見しました。 Torユーザーは指紋をとることができます. ユーザーのフィンガープリントは、ユーザーのオンライン習慣に関するさまざまな操作と詳細を追跡する方法を示しています.
Norteが指摘したように, TorユーザーがWebを閲覧している間にデータが保存されるため、フィンガープリントは特に脅威になります。 (Torを介して) 後でユーザーの通常のブラウザから取得したデータと比較できます. これは、研究者が数年前に言ったことです:
ブラウザが対処しようとする一般的な問題の1つは、ユーザーのフィンガープリントです。. Webサイトが、ページにアクセスする各ユーザーを識別する一意のフィンガープリントを生成できる場合, その後、このユーザーのアクティビティを時間内に追跡することができます, 例えば, 1年間のユーザーの訪問を相関させる, 同じユーザーであることを知っている. さらに悪いことに, Torブラウザとインターネットの閲覧に使用される通常のブラウザで指紋が同じである場合、ユーザーを特定できる可能性があります。. Torブラウザにとって、ユーザーの指紋認証の試みを防ぐことは非常に重要です。.
研究者はまた、Torユーザーに指紋を付けることができるいくつかの方法を概説しました, マウス速度のフィンガープリントや、ブラウザでのCPUを集中的に使用するJavaScript操作の解除など.