Le navigateur Brave exposait les adresses en mode Tor pendant des mois

Le navigateur Brave, qui met l'accent sur la Politique de confidentialité et la sécurité, divulgue des données depuis des mois, selon des chercheurs en sécurité.

Vendredi, l'utilisateur de Reddit «py4YQFdYkKhBK690mZql"publié sur un forumque le mode Tor de Brave, introduit en 2018, envoyait les requêtes pour les domaines .onion à des résolveurs DNS, plutôt qu'à des nœuds Tor privés. Un résolveur DNS est un serveur qui convertit les noms de domaine en adresses IP. Cela signifie que les sites .onion recherchés par les internautes, sachant que ces recherches seraient privées, ne l'étaient pas. En fait, ils pouvaient être observés par les fournisseurs d'accès Internet (FAI) centralisés.

Plusieurs modérateurs de subreddit sur la Politique de confidentialité et la sécurité ont initialement refusé d'accepter la publication parce qu'ils souhaitaient un examen plus approfondi des affirmations.

"Il a été découvert par mon partenaire lema startup« Nous travaillons sur un service VPN bloquant les publicités et les « conneries » (ainsi que d'autres fonctionnalités, comme indiqué sur le site) », a déclaré py4YQFdYkKhBK690mZql dans un message direct à CoinDesk. « Il a mentionné l'avoir remarqué en observant son trafic DNS sortant sur son réseau local. »

Sur le même sujet : Comment un procès contre l'IRS tente d'étendre la Politique de confidentialité des utilisateurs de Crypto

Les résultats ont été rapidement confirmés parchercheurs en sécurité sur Twitter. Suite à cela, Brave a confirmé qu'elle était au courant du problème et a lancé unecorrectif de sécurité pour le navigateur vendredi soir.

Les fuites duraient depuis des mois avant que Brave n'en prenne connaissance, a déclaré Sean O'Brien, chercheur principal chezLaboratoire de sécurité numérique ExpressVPN, qui a mené des recherches plus approfondies sur la vulnérabilité et les a partagées en exclusivité avec CoinDesk. Non seulement les requêtes de domaine .onion étaient observables, mais toutes les requêtes de domaine dans les onglets Tor l'étaient également. Ainsi, lorsqu'un site web chargeait du contenu depuis YouTube, Google ou Facebook, toutes ces requêtes pouvaient être observables, même si le contenu lui-même ne l'était pas.

« Une mise à jour du blocage des publicités du navigateur Brave a introduit une vulnérabilité qui a exposé les utilisateurs à la fonctionnalité la plus confidentielle du navigateur : les fenêtres et onglets Tor », a déclaré O’Brien. « Les utilisateurs de cette fonctionnalité Tor de Brave s’attendaient à ce que les sites web qu’ils consultaient soient cachés à leurs FAI, écoles et employeurs, mais les informations de domaine (trafic DNS) ont été révélées. »

Fuites DNS et chronologie des vulnérabilités de Brave

Une fuite DNS laisse une trace dans les journaux du serveur, trace qui peut être suivie par les forces de l'ordre, les pirates informatiques ou toute personne disposant d'un accès réseau de haut niveau. Tor est un navigateur qui permet une communication anonyme en dirigeant le trafic internet via un vaste réseau superposé, masquant ainsi la localisation de l'utilisateur et le protégeant contre la surveillance du réseau ou l'analyse du trafic. Des défenseurs de la Politique de confidentialité , comme Edward Snowden et d'autres, ont plaidé en faveur de Tor, considéré comme un outil précieux de protection contre la surveillance.

Ceux qui utilisent le service du mode Tor dans le navigateur Brave s'attendent à ce que leur trafic soit protégé contre exactement le type de journaux de serveur DNS qui se sont produits à la suite de cette fuite, ce qui pourrait révéler à quels sites Web ils accèdent.

« Fondamentalement, votre FAI saurait si vous avez visité des sites Web .onion et s'il suit un journal de tous les sites Web que vous avez visités, il pourrait vous signaler comme « suspect » », a déclaré le chercheur en sécurité pseudonyme SerHack dans un message direct.

Le projet Tor, créateur du navigateur Tor, a refusé de commenter cet article.

« Brave avertit les utilisateurs que les fenêtres et onglets Tor de son navigateur n'offrent pas le même niveau de Politique de confidentialité que le navigateur Tor, développé directement par le projet Tor », a déclaré O'Brien. « Cependant, cette fuite DNS a été correctement détectée. décrit comme « flagrant »par le CSO de Brave. »

Sur le même sujet : Une application Crypto populaire aurait des liens avec une société de suivi de données

O’Brien a examiné chaque version du navigateur Brave depuis son lancement fin 2019.

Ce faisant, il a découvert que la fuite DNS apparaissait pour la première fois dans un correctif pour « Support CNAME adblocking #11712 »,qui a été introduitau code source du navigateur le 14 octobre 2020. Il a été inclus dans la version nocturne du navigateur Brave le même jour.

Le Navigateur courageuxIl existe deux versions : une version nocturne destinée aux développeurs et une version stable destinée aux utilisateurs ordinaires. Les modifications apportées à la version nocturne sont testées, puis intégrées à la version stable.

Brave a publié la mise à jour contenant la vulnérabilité de fuite DNS dans la version stable du navigateur le 20 novembre 2020.

La vulnérabilité n’a été signalée que le 12 janvier 2021.selon Github, via HackerOne. Brave a publié un correctif pour ce problème dans la version nocturne du 4 février, mais jusqu'à ce que py4YQFdYkKhBK690mZq publie le problème sur Reddit et qu'il soit confirmé par d'autres chercheurs, Brave n'avait T publié de correctif pour la version stable.

Sur le même sujet : Brave devient le premier navigateur à proposer une intégration IPFS native

Brave a publié la version stable du correctif vendredi soir, le jour même où les rapports du problème ont été rendus publics. CoinDesk a confirmé que la version stable de Brave ne divulguait plus d'informations aux serveurs DNS.

Cela signifie que, pendant des mois, les utilisateurs qui utilisaient le mode Tor en pensant que leur trafic était privé le gardaient en réalité connecté aux serveurs DNS, laissant derrière eux une trace de leur activité en ligne. La version stable a été corrigée deux semaines après la version nocturne.

Au total, la version nocturne de Brave a fuité pendant 113 jours, tandis que la version stable l'a fait pendant 91 jours.

« Tout cela est un incident vraiment effrayant pour ceux qui souhaitent protéger leur Politique de confidentialité», a déclaré SerHack. « Il semble que Brave n'ait pas prêté attention à tous les détails, et cet épisode devrait nous rappeler qu'une seule erreur pourrait anéantir tous les efforts en matière de Politique de confidentialité. »

La réponse de Brave

En réponse aux questions sur la durée du problème, les implications pour les utilisateurs et la manière dont Brave pourrait garantir qu'une telle situation ne se reproduise T à l'avenir, Sydney Huffman, porte-parole de Brave, a publié la déclaration suivante :

Mi-janvier 2021, nous avons été informés d'un bug qui permettait à un pirate informatique de voir les requêtes DNS effectuées dans une fenêtre privée de Brave avec une connexion Tor. La cause principale était une nouvelle fonctionnalité de blocage des publicités, appelée blocage CNAME, qui lançait des requêtes DNS sans passer par Tor afin de vérifier si un domaine devait être bloqué.

Ce bug a été découvert et signalé par xiaoyinl sur HackerOne. Nous avons immédiatement réagi au rapport et inclus un correctif pour cette vulnérabilité dans la mise à jour nocturne du 4 février 2021 (https://github.com/brave/brave-core/pull/7769). Comme c'est notre processus habituel pour les corrections de bugs, nous avons testé les changements chaque nuit pour nous assurer qu'ils ne provoquaient T de régressions ou d'autres bugs avant de les publier sur le canal stable.

Sur le même sujet : Ce malware insaisissable cible les portefeuilles de Crypto depuis un an

Huffman a ajouté qu'étant donné la gravité du problème et le fait qu'il était désormais public (ce qui le rendait plus facile à exploiter), la société a accéléré le calendrier de ce problème et l'a publié vendredi.

Elle a également noté que l’utilisation d’une fenêtre privée avec une connectivité Tor via Brave n’est pas la même chose que l’utilisation du navigateur Tor.

« Si votre sécurité personnelle dépend de votre anonymat, nous vous recommandons vivement d’utiliser le navigateur Tor plutôt que Brave Tor Windows », a-t-elle déclaré.

Bien que la reconnaissance et la résolution QUICK du problème aient été un résultat final positif, des cas comme ceux-ci servent de rappel de la multitude de façons dont la Politique de confidentialité peut être compromise en ligne, même lorsque les utilisateurs pensent qu'ils prennent des mesures pour assurer leur sécurité.

Le niveau élevé d’anonymat que Tor peut fournir a été brisé, et cette vulnérabilité aurait pu permettre aux intermédiaires du réseau ou aux attaquants d’espionner les utilisateurs et de suivre les sites Web qu’ils visitent, selon O’Brien.

« La bonne nouvelle, c'est que le contenu circulant sur le réseau, comme les conversations ou les fichiers, semble avoir été protégé par Tor », a-t-il déclaré. « En revanche, les utilisateurs en situation dangereuse auraient pu être mis en danger, surtout s'ils avaient agi avec moins de prudence, car ils espéraient rester anonymes. »