Il browser Brave ha esposto gli indirizzi in modalità Tor per mesi

Secondo i ricercatori della sicurezza, il browser Brave, che pone l'accento Privacy e sulla sicurezza, da mesi continua a trapelare dati.

Venerdì, l'utente di Reddit "py4YQFdYkKhBK690mZql”postato su un forumche la modalità Tor di Brave, introdotta nel 2018, inviava richieste per domini .onion a risolutori DNS, anziché a nodi Tor privati. Un risolutore DNS è un server che converte i nomi di dominio in indirizzi IP. Ciò significa che i siti .onion che le persone cercavano, con l'intesa che tali ricerche sarebbero state private, non lo erano. Infatti, potevano essere osservati da provider di servizi Internet (ISP) centralizzati.

Inizialmente, vari moderatori del subreddit Privacy e sulla sicurezza hanno rifiutato di accettare il post perché volevano un controllo più approfondito delle affermazioni.

"È stato scoperto dal mio compagno sula mia startup, poiché stiamo lavorando a un servizio VPN che blocca annunci e 'BS' (oltre ad altre cose, come mostrato sul sito)", ha affermato py4YQFdYkKhBK690mZql in un messaggio diretto a CoinDesk. "Ha menzionato di averlo notato mentre osservava il suo traffico DNS in uscita sulla sua rete locale".

Continua a leggere: Come una causa contro l'IRS sta cercando di ampliare la Privacy degli utenti Cripto

I risultati sono stati rapidamente confermati daricercatori di sicurezza su TwitterIn seguito, Brave ha confermato di essere a conoscenza del problema e ha premuto unpatch di sicurezza per il browser venerdì sera.

Le fughe di notizie erano in corso da mesi prima che Brave ne venisse a conoscenza, ha affermato Sean O'Brien, ricercatore principale pressoLaboratorio di sicurezza digitale ExpressVPN, che ha condotto ulteriori ricerche sulla vulnerabilità e le ha condivise in esclusiva con CoinDesk. Non solo le richieste di dominio .onion erano osservabili, ma lo erano anche tutte le richieste di dominio nelle schede Tor, il che significa che quando un sito web caricava contenuti da YouTube, Google o Facebook, tutte quelle richieste potevano essere osservabili, anche se il contenuto stesso non lo era.

"Un aggiornamento di adblocking nel browser Brave ha introdotto una vulnerabilità che ha esposto gli utenti della funzionalità più privata del browser: le finestre e le schede Tor", ha affermato O'Brien. "Gli utenti di questa funzionalità Tor in Brave si aspettavano che i siti Web che visitavano fossero nascosti ai loro ISP, scuole e datori di lavoro, ma quelle informazioni di dominio (traffico DNS) sono state invece rivelate.

Fughe di notizie DNS e cronologia delle vulnerabilità di Brave

Una perdita DNS crea una traccia nei log del server che può essere seguita dalle forze dell'ordine, dagli hacker o da chiunque abbia un accesso di rete di alto livello. Tor è un browser che consente comunicazioni anonime indirizzando il traffico Internet attraverso una grande rete di overlay, che nasconde la posizione di un utente e protegge dalla sorveglianza della rete o dall'analisi del traffico. I sostenitori Privacy come Edward Snowden e altri hanno sostenuto Tor come uno strumento prezioso per la protezione dalla sorveglianza.

Chi utilizza il servizio Tor mode nel browser Brave si aspetta che il proprio traffico sia protetto esattamente dallo stesso tipo di log del server DNS che si è verificato a seguito di questa fuga di dati, che potrebbe rivelare a quali siti web stanno accedendo.

"Fondamentalmente, il tuo ISP saprebbe se hai visitato siti web .onion e se traccia un registro di tutti i siti web che hai visitato, potrebbe segnalarti come 'sospetto'", ha affermato il ricercatore di sicurezza pseudonimo SerHack in un messaggio diretto.

Il Tor Project, creatore del browser Tor, ha rifiutato di rilasciare dichiarazioni per questo articolo.

"Brave avverte gli utenti che le finestre e le schede Tor nel suo browser non forniscono lo stesso livello di Privacy di Tor Browser, che è sviluppato direttamente dal Tor Project", ha affermato O'Brien. "Tuttavia, questa perdita DNS è stata opportunamente descritto come "atroce"dal CSO di Brave."

Continua a leggere: App Cripto popolare trovata legata a società di monitoraggio dati

O’Brien ha esaminato ogni build del browser Brave a partire dal suo lancio alla fine del 2019.

Così facendo, ha scoperto che la perdita di DNS si è manifestata per la prima volta in una patch per "Supporto CNAME adblocking #11712",che è stato introdottoal codice sorgente del browser il 14 ottobre 2020. È stato incluso nella build notturna del browser Brave lo stesso giorno.

IL Browser coraggiosoha due versioni: una build notturna per gli sviluppatori e una build stabile per gli utenti ordinari. Le modifiche apportate nella build notturna vengono testate e poi eventualmente incorporate nella build stabile.

Brave ha rilasciato l'aggiornamento contenente la vulnerabilità di perdita DNS nella build stabile del browser il 20 novembre 2020.

La vulnerabilità non è stata segnalata fino al 12 gennaio 2021,secondo Github, tramite HackerOne. Brave ha rilasciato una correzione per questo nella build notturna del 4 febbraio, ma finché py4YQFdYkKhBK690mZq non ha reso pubblico il problema su Reddit e non è stato confermato da altri ricercatori, Brave T ha rilasciato una correzione per la build stabile.

Continua a leggere: Brave diventa il primo browser a offrire l'integrazione IPFS nativa

Brave ha spinto la correzione della build stabile venerdì sera, lo stesso giorno in cui sono stati resi pubblici i report del problema. CoinDesk ha confermato che la build stabile di Brave non sta più perdendo informazioni sui server DNS.

Ciò significa che per mesi gli utenti che utilizzavano la modalità Tor con la consapevolezza che il loro traffico fosse privato, in realtà lo avevano registrato nei server DNS, lasciando dietro di sé una traccia della loro attività online. La build stabile è stata corretta due settimane dopo la build notturna.

Nel complesso, la build notturna di Brave è rimasta sottoposta a perdite per 113 giorni, mentre la build stabile lo ha fatto per 91 giorni.

"Tutta questa faccenda è un incidente spaventoso per le persone [che] vogliono proteggere la propria Privacy", ha detto SerHack. "Sembra che Brave non abbia prestato attenzione a tutti i dettagli, e questo episodio dovrebbe avvertirci che un singolo errore potrebbe vanificare tutti gli sforzi sulla Privacy".

La risposta di Brave

In risposta alle domande su quanto tempo fosse presente questo problema, quali fossero le implicazioni per gli utenti e come Brave potesse garantire che una cosa del genere T accadesse in futuro, Sydney Huffman, portavoce di Brave, ha rilasciato la seguente dichiarazione:

"A metà gennaio 2021, siamo stati informati di un bug che avrebbe consentito a un aggressore di rete di vedere le richieste DNS effettuate in una finestra privata in Brave con connettività Tor. La causa principale era una nuova funzionalità di blocco degli annunci denominata CNAME adblocking che avviava richieste DNS che non passavano attraverso Tor per verificare se un dominio dovesse essere bloccato.

"Questo bug è stato scoperto e segnalato da xiaoyinl su HackerOne. Abbiamo risposto immediatamente alla segnalazione e incluso una correzione per questa vulnerabilità nell'aggiornamento notturno del 4 febbraio 2021 (https://github.com/brave/brave-core/pull/7769). Come di consueto per le correzioni di bug, abbiamo testato le modifiche ogni notte per assicurarci che T causassero regressioni o altri bug prima di rilasciarle sul canale stabile."

Continua a leggere: Questo malware elusivo ha preso di mira i portafogli Cripto per un anno

Huffman ha aggiunto che, data la gravità del problema e il fatto che ora è di dominio pubblico (rendendolo quindi più facile da sfruttare), l'azienda ha accelerato i tempi di risoluzione del problema e lo ha reso pubblico venerdì.

Ha anche sottolineato che utilizzare una finestra privata con connettività Tor tramite Brave non è la stessa cosa che utilizzare Tor Browser.

"Se la tua sicurezza personale dipende dal rimanere anonimo, ti consigliamo vivamente di usare Tor Browser invece di Brave Tor Windows", ha affermato.

Sebbene il riconoscimento e la QUICK soluzione del problema abbiano rappresentato un risultato finale positivo, casi come questi servono a ricordare i molteplici modi in cui la Privacy può essere compromessa online, anche quando gli utenti pensano di adottare misure per proteggersi.

Secondo O’Brien, l’elevato livello di anonimato che Tor può garantire è stato violato e questa vulnerabilità potrebbe aver consentito agli intermediari di rete o agli aggressori di spiare gli utenti e tracciare i siti web che visitano.

"La buona notizia è che il contenuto che viaggiava attraverso la rete, come conversazioni o file, sembra essere stato protetto da Tor", ha detto. "Gli utenti in situazioni pericolose, tuttavia, avrebbero potuto essere messi a rischio, soprattutto se avessero agito con meno cautela perché si aspettavano l'anonimato".