Ang Brave Browser ay Naglalantad ng Mga Address sa Tor Mode sa loob ng Ilang Buwan

Ang Brave browser, na nagbibigay-diin sa Privacy at seguridad, ay naglalabas ng data sa loob ng ilang buwan, ayon sa mga mananaliksik ng seguridad.

Noong Biyernes, Reddit user “py4YQFdYkKhBK690mZql” nai-post sa isang forum na ang Tor mode ng Brave, na ipinakilala noong 2018, ay nagpapadala ng mga kahilingan para sa mga .onion na domain sa mga DNS resolver, sa halip na mga pribadong Tor node. Ang DNS resolver ay isang server na nagko-convert ng mga domain name sa mga IP address. Nangangahulugan ito na ang mga .onion na site na hinanap ng mga tao, sa pag-unawa na magiging pribado ang mga paghahanap na iyon, ay hindi. Sa katunayan, maaari silang maobserbahan ng mga sentralisadong internet service provider (ISP).

Tumanggi ang iba't ibang mga moderator ng subreddit sa Privacy at seguridad na tanggapin ang post sa simula dahil gusto nila ng higit pang pagsusuri sa mga claim.

"Natuklasan ito ng aking kasosyo sa ang startup ko, habang gumagawa kami ng isang ad at 'BS' na humaharang sa serbisyo ng VPN (pati na rin ang iba pang mga bagay, tulad ng ipinapakita sa site)," sabi ni py4YQFdYkKhBK690mZql sa isang direktang mensahe sa CoinDesk. "Binanggit niya ang pagpuna nito habang inoobserbahan ang kanyang papalabas na trapiko ng DNS sa kanyang lokal na network."

Read More: Paano Sinusubukan ng Isang Paghahabla Laban sa IRS na Palawakin ang Privacy para sa Mga Gumagamit ng Crypto

Ang mga natuklasan ay mabilis na nakumpirma ng mga mananaliksik ng seguridad sa Twitter. Kasunod nito, kinumpirma ni Brave na alam nito ang isyu, at itinulak ang isang patch ng seguridad sa browser Biyernes ng gabi.

Ang mga pagtagas ay nagpapatuloy sa loob ng ilang buwan bago nalaman ni Brave ang mga ito, sabi ni Sean O'Brien, punong mananaliksik sa ExpressVPN Digital Security Lab, na nagsagawa ng karagdagang pananaliksik sa kahinaan at eksklusibong ibinahagi ito sa CoinDesk. Hindi lang naoobserbahan ang mga kahilingan sa domain ng .onion ngunit gayundin ang lahat ng kahilingan sa domain sa mga tab na Tor, ibig sabihin, kapag nag-load ang isang website ng content mula sa YouTube, Google o Facebook, maaaring maobserbahan ang lahat ng kahilingang iyon, kahit na ang content mismo ay hindi.

“Ang isang update sa adblocking sa Brave browser ay nagpakilala ng isang kahinaan na naglantad sa mga user ng pinakapribadong feature ng browser – Tor windows at mga tab,” sabi ni O’Brien. "Ang mga gumagamit ng tampok na Tor na ito sa Brave ay inaasahan na ang mga website na binibisita nila ay nakatago sa kanilang mga ISP, paaralan at employer, ngunit ang impormasyon ng domain na iyon (trapiko ng DNS) ay ipinahayag sa halip.

Ang mga pagtagas ng DNS at ang timeline ng kahinaan ng Brave

Ang isang DNS leak ay lumilikha ng isang trail sa mga log ng server na maaaring sundan ng mga nagpapatupad ng batas, mga hacker o talagang sinumang may mataas na antas ng access sa network. Ang Tor ay isang browser na nagbibigay-daan sa hindi kilalang komunikasyon sa pamamagitan ng pagdidirekta ng trapiko sa internet sa pamamagitan ng isang malaking overlay na network, na nagtatago sa lokasyon ng isang user at nagpoprotekta laban sa pagsubaybay sa network o pagsusuri sa trapiko. Ang mga tagapagtaguyod ng Privacy tulad ni Edward Snowden at iba pa ay nagtaguyod para sa Tor bilang isang mahalagang tool para sa pagprotekta laban sa pagsubaybay.

Inaasahan ng mga gumagamit ng serbisyo ng Tor mode sa Brave browser na mapoprotektahan ang kanilang trapiko laban sa eksaktong uri ng mga log ng DNS server na naganap bilang resulta ng pagtagas na ito, na maaaring magbunyag kung anong mga website ang kanilang ina-access.

“Sa pangunahin, malalaman ng iyong ISP kung bumisita ka sa mga website ng .onion at kung sinusubaybayan nila ang isang log ng lahat ng mga website na binisita mo, maaaring iulat ka nila bilang 'kahina-hinala,'" sabi ng pseudonymous security researcher na si SerHack sa isang direktang mensahe.

Ang Tor Project, mga gumagawa ng Tor browser, ay tumanggi na magkomento para sa pirasong ito.

"Brave ay nagbabala sa mga user na ang Tor windows at mga tab sa browser nito ay hindi nagbibigay ng parehong antas ng Privacy gaya ng Tor Browser, na direktang binuo ng Tor Project," sabi ni O'Brien. "Gayunpaman, ang DNS leak na ito ay maayos inilarawan bilang 'nakakatakot' ng CSO ni Brave.”

Read More: Ang Sikat na Crypto App ay Nahanap na May Kaugnayan sa Data Tracking Company

Sinuri ni O'Brien ang bawat build ng Brave browser mula sa paglunsad nito noong huling bahagi ng 2019.

Sa paggawa nito, nakita niyang ang DNS leakage ay unang nagpakita sa isang patch para sa "Support CNAME adblocking #11712," na ipinakilala sa source code ng browser noong Okt. 14, 2020. Kasama ito sa Brave browser nightly build nang araw ding iyon.

Ang Matapang na browser ay may dalawang bersyon – isang gabi-gabi na build na para sa mga developer at isang stable na build na para sa mga ordinaryong user. Sinusubukan ang mga pagbabagong ginawa sa gabi-gabing build at pagkatapos ay isinasama sa matatag na build.

Inilabas ni Brave ang update na naglalaman ng vulnerability ng leakage ng DNS sa stable na build ng browser noong Nob. 20, 2020.

Ang kahinaan ay hindi naiulat hanggang Ene. 12, 2021, ayon kay Github, sa pamamagitan ng HackerOne. Naglabas si Brave ng pag-aayos para dito sa gabi-gabi na build noong Peb. 4, ngunit hanggang sa maisapubliko ng py4YQFdYkKhBK690mZq ang isyu sa Reddit at ito ay nakumpirma ng iba pang mga mananaliksik, si Brave ay T nagbigay ng pag-aayos sa stable na build.

Read More: Naging Unang Browser ang Brave na Nag-aalok ng Native IPFS Integration

Itinulak ni Brave ang stable na build fix noong Biyernes ng gabi, noong araw ding iyon ay isinapubliko ang mga ulat ng problema. Kinumpirma ng CoinDesk na ang matatag na build ng Brave ay hindi na naglalabas ng impormasyon sa mga DNS server.

Nangangahulugan ito na sa loob ng ilang buwan ang mga user na gumagamit ng Tor mode na may pag-unawa na ang kanilang trapiko ay pribado, sa katunayan, ay naka-log in ito sa mga DNS server, na nag-iiwan ng isang trail ng kanilang online na aktibidad. Ang matatag na build ay naayos dalawang linggo pagkatapos ng gabi-gabing pagtatayo.

Sa pangkalahatan, ang gabi-gabing Brave build ay tumutulo sa loob ng 113 araw, habang ang stable na build ay ginagawa ito sa loob ng 91 araw.

"Ang buong bagay na ito ay isang nakakatakot na insidente para sa mga tao [na] gustong protektahan ang kanilang Privacy," sabi ni SerHack. "Mukhang hindi binigyang-pansin ni Brave ang lahat ng detalye, at dapat bigyan tayo ng babala ng episode na ito na maaaring mapawalang-bisa ng isang pagkakamali ang lahat ng pagsisikap sa Privacy."

tugon ni Brave

Bilang tugon sa mga tanong tungkol sa kung gaano katagal ito naging isyu, kung ano ang mga implikasyon para sa mga user at kung paano masisiguro ng Brave na T mangyayari ang isang bagay na tulad nito sa hinaharap, si Sydney Huffman, isang tagapagsalita ng Brave, ay naglabas ng sumusunod na pahayag:

"Noong kalagitnaan ng Enero 2021, nalaman namin ang tungkol sa isang bug na magbibigay-daan sa isang network attacker na makita ang mga kahilingan sa DNS na ginawa sa isang pribadong window sa Brave na may Tor connectivity. Ang pangunahing dahilan ay isang bagong feature ng adblocking na tinatawag na CNAME adblocking na nagpasimula ng mga kahilingan sa DNS na hindi dumaan sa Tor upang masuri kung ang isang domain ay dapat i-block.

"Ang bug na ito ay natuklasan at iniulat ng xiaoyinl sa HackerOne. Agad kaming tumugon sa ulat at nagsama ng pag-aayos para sa kahinaang ito noong Pebrero 4, 2021, gabi-gabi na pag-update (https://github.com/brave/brave-core/pull/7769). Gaya ng aming karaniwang proseso para sa mga pag-aayos ng bug, sinusuri namin ang mga pagbabago sa gabi-gabi upang matiyak na T sila nagdulot ng mga regression o iba pang mga bug bago ilabas sa stable na channel.”

Read More: Ang Mailap na Malware na ito ay Tinatarget ang Crypto Wallets sa loob ng isang Taon

Idinagdag ni Huffman na dahil sa kalubhaan ng isyu at ang katotohanan na ito ay pampubliko na ngayon (sa gayon ay ginagawang mas madaling pagsamantalahan), pinabilis ng kumpanya ang timeline para sa isyung ito at inilabas ito noong Biyernes.

Nabanggit din niya na ang paggamit ng pribadong window na may Tor connectivity sa pamamagitan ng Brave ay hindi katulad ng paggamit ng Tor Browser.

"Kung ang iyong personal na kaligtasan ay nakasalalay sa pananatiling anonymous, lubos naming inirerekomenda ang paggamit ng Tor Browser sa halip na ang mga bintana ng Brave Tor," sabi niya.

Bagama't ang pagkilala at QUICK na pag-aayos para sa isyu ay isang positibong resulta, ang mga pagkakataong tulad ng mga ito ay nagsisilbing paalala ng maraming paraan kung saan maaaring makompromiso ang Privacy online, kahit na iniisip ng mga user na nagsasagawa sila ng mga hakbang upang maging secure.

Nasira ang mataas na antas ng anonymity na maibibigay ng Tor, at ang kahinaang ito ay maaaring nagbigay-daan sa mga tagapamagitan o umaatake sa network na snoop sa mga user at subaybayan kung anong mga website ang binibisita nila, ayon kay O'Brien.

"Ang mabuting balita ay ang nilalaman na naglakbay sa buong network, tulad ng mga pag-uusap o mga file, ay tila protektado ng Tor," sabi niya. "Gayunpaman, ang mga gumagamit sa mga mapanganib na sitwasyon, ay maaaring nalagay sa panganib, lalo na kung kumilos sila nang hindi gaanong pag-iingat dahil inaasahan nila ang hindi pagkakilala."