El navegador Brave expuso direcciones en modo Tor durante meses

El navegador Brave, que pone énfasis en la Privacidad y la seguridad, ha estado filtrando datos durante meses, según investigadores de seguridad.

El viernes, el usuario de Reddit “py4YQFdYkKhBK690mZql"publicado en un foroque el modo Tor de Brave, introducido en 2018, enviaba solicitudes de dominios .onion a resolutores DNS, en lugar de a nodos Tor privados. Un resolutor DNS es un servidor que convierte los nombres de dominio en direcciones IP. Esto significa que los sitios .onion que la gente buscaba, con el entendimiento de que esas búsquedas serían privadas, no lo eran. De hecho, podían ser observados por proveedores de servicios de internet (ISP) centralizados.

Varios moderadores del subreddit de Privacidad y seguridad se negaron inicialmente a aceptar la publicación porque querían una mayor investigación de las afirmaciones.

"Lo descubrió mi pareja elmi startup"Estamos trabajando en un servicio VPN que bloquea anuncios y 'basura' (entre otras cosas, como se muestra en el sitio)", dijo py4YQFdYkKhBK690mZql en un mensaje directo a CoinDesk. "Mencionó haberlo notado mientras observaba el tráfico DNS saliente en su red local".

Sigue leyendo: Cómo una demanda contra el IRS busca ampliar la Privacidad de los usuarios de Cripto

Los hallazgos fueron rápidamente confirmados porinvestigadores de seguridad en TwitterDespués de esto, Brave confirmó que estaba al tanto del problema y envió unParche de seguridad para el navegador el viernes por la noche.

Las filtraciones habían estado ocurriendo durante meses antes de que Brave se diera cuenta de ellas, dijo Sean O'Brien, investigador principal deLaboratorio de seguridad digital de ExpressVPN, quienes investigaron más a fondo la vulnerabilidad y la compartieron en exclusiva con CoinDesk. No solo eran observables las solicitudes de dominio .onion, sino también todas las solicitudes de dominio en las pestañas de Tor. Esto significa que, cuando un sitio web cargaba contenido de YouTube, Google o Facebook, todas esas solicitudes podían ser observables, incluso si el contenido en sí no lo era.

“Una actualización del bloqueo de anuncios en el navegador Brave introdujo una vulnerabilidad que expuso a los usuarios la función más privada del navegador: las ventanas y pestañas de Tor”, declaró O’Brien. “Los usuarios de esta función de Tor en Brave esperaban que los sitios web que visitaban estuvieran ocultos para sus proveedores de servicios de internet (ISP), escuelas y empleadores, pero esa información de dominio (tráfico DNS) sí se reveló”.

Cronología de las fugas de DNS y vulnerabilidades de Brave

Una fuga de DNS crea un rastro en los registros del servidor que puede ser rastreado por las fuerzas del orden, hackers o cualquier persona con acceso de alto nivel a la red. Tor es un navegador que permite la comunicación anónima dirigiendo el tráfico de internet a través de una gran red superpuesta, lo que oculta la ubicación del usuario y lo protege contra la vigilancia de la red o el análisis de tráfico. Defensores de la Privacidad como Edward Snowden y otros han recomendado Tor como una herramienta valiosa para la protección contra la vigilancia.

Quienes utilizan el servicio de modo Tor en el navegador Brave esperan que su tráfico esté protegido exactamente contra el tipo de registros de servidor DNS que se produjeron como resultado de esta filtración, que podría revelar a qué sitios web están accediendo.

“Básicamente, su ISP sabría si ha visitado sitios web .onion y, si rastrean un registro de todos los sitios web que visitó, podrían reportarlo como 'sospechoso'”, dijo el investigador de seguridad seudónimo SerHack en un mensaje directo.

El Proyecto Tor, creadores del navegador Tor, se negó a hacer comentarios para este artículo.

“Brave advierte a los usuarios que las ventanas y pestañas de Tor en su navegador no ofrecen el mismo nivel de Privacidad que el Navegador Tor, desarrollado directamente por el Proyecto Tor”, dijo O'Brien. “Sin embargo, esta filtración de DNS fue debidamente… descrito como "atroz"por el CSO de Brave”.

Sigue leyendo: Se descubre que una popular aplicación de Cripto tiene vínculos con una empresa de seguimiento de datos

O’Brien examinó cada versión del navegador Brave desde su lanzamiento a finales de 2019.

Al hacerlo, descubrió que la fuga de DNS apareció por primera vez en un parche para "Compatibilidad con el bloqueo de anuncios CNAME n.° 11712".que fue introducidoal código fuente del navegador el 14 de octubre de 2020. Se incluyó en la compilación nocturna del navegador Brave ese mismo día.

El Navegador valienteTiene dos versiones: una versión nocturna para desarrolladores y una versión estable para usuarios comunes. Los cambios realizados en la versión nocturna se prueban y finalmente se incorporan a la versión estable.

Brave lanzó la actualización que contiene la vulnerabilidad de fuga de DNS en la versión estable del navegador el 20 de noviembre de 2020.

La vulnerabilidad no se informó hasta el 12 de enero de 2021.según Github, vía HackerOne. Brave publicó una solución en la versión nocturna del 4 de febrero, pero hasta que py4YQFdYkKhBK690mZq publicó el problema en Reddit y otros investigadores lo confirmaron, Brave no había publicado una solución para la versión estable.

Sigue leyendo: Brave se convierte en el primer navegador en ofrecer integración nativa con IPFS

Brave implementó la corrección de la versión estable el viernes por la noche, el mismo día en que se publicaron los informes del problema. CoinDesk ha confirmado que la versión estable de Brave ya no filtra información a los servidores DNS.

Esto significa que, durante meses, los usuarios que usaban el modo Tor sabiendo que su tráfico era privado lo tenían registrado en servidores DNS, dejando un rastro de su actividad en línea. La versión estable se corrigió dos semanas después de la versión nocturna.

En general, la compilación nocturna de Brave tuvo fugas durante 113 días, mientras que la compilación estable lo hizo durante 91 días.

“Todo esto es un incidente aterrador para quienes desean proteger su Privacidad”, dijo SerHack. “Parece que Brave no prestó atención a todos los detalles, y este episodio debería advertirnos de que un solo error podría echar por tierra todos los esfuerzos por proteger la Privacidad”.

La respuesta de Brave

En respuesta a preguntas sobre cuánto tiempo había sido este un problema, cuáles eran las implicaciones para los usuarios y cómo Brave podría garantizar que algo así no sucediera en el futuro, Sydney Huffman, portavoz de Brave, emitió la siguiente declaración:

A mediados de enero de 2021, nos enteramos de un error que permitía a un atacante de red ver las solicitudes DNS realizadas en una ventana privada de Brave con conectividad Tor. La causa principal era una nueva función de bloqueo de anuncios llamada CNAME, que iniciaba solicitudes DNS que no pasaban por Tor para comprobar si un dominio debía bloquearse.

Este error fue descubierto e informado por xiaoyinl en HackerOne. Respondimos de inmediato al informe e incluimos una solución para esta vulnerabilidad en la actualización nocturna del 4 de febrero de 2021 (https://github.com/brave/brave-core/pull/7769Como es nuestro proceso habitual para corregir errores, hemos estado probando los cambios en la versión nocturna para asegurarnos de que no causaran regresiones ni otros errores antes de publicarlos en el canal estable.

Sigue leyendo: Este escurridizo malware ha estado atacando billeteras de Cripto durante un año

Huffman agregó que dada la gravedad del problema y el hecho de que ahora era público (lo que hacía más fácil su explotación), la compañía aceleró el cronograma para este problema y lo publicó el viernes.

También señaló que usar una ventana privada con conectividad Tor a través de Brave no es lo mismo que usar Tor Browser.

"Si su seguridad personal depende de permanecer anónimo, le recomendamos encarecidamente utilizar Tor Browser en lugar de las ventanas de Brave Tor", dijo.

Si bien el reconocimiento y la QUICK solución del problema fue un resultado final positivo, casos como estos sirven como recordatorio de la multitud de formas en que la Privacidad puede verse comprometida en línea, incluso cuando los usuarios creen que están tomando medidas para estar seguros.

El alto nivel de anonimato que Tor puede proporcionar fue roto, y esta vulnerabilidad podría haber permitido a intermediarios de la red o atacantes espiar a los usuarios y rastrear qué sitios web visitan, según O’Brien.

“La buena noticia es que el contenido que circulaba por la red, como conversaciones o archivos, parece haber estado protegido por Tor”, afirmó. “Sin embargo, los usuarios en situaciones peligrosas podrían haber estado en riesgo, especialmente si actuaron con menos precaución porque esperaban anonimato”.