O navegador Brave estava expondo endereços no modo Tor por meses

O navegador Brave, que enfatiza Política de Privacidade e segurança, vem vazando dados há meses, de acordo com pesquisadores de segurança.

Na sexta-feira, o usuário do Reddit “py4YQFdYkKhBK690mZql"postado em um fórumque o modo Tor do Brave, introduzido em 2018, estava enviando solicitações de domínios .onion para resolvedores DNS, em vez de nós Tor privados. Um resolvedor DNS é um servidor que converte nomes de domínio em endereços IP. Isso significa que os sites .onion que as pessoas pesquisaram, com o entendimento de que essas pesquisas seriam privadas, não eram. Na verdade, eles podiam ser observados por provedores de serviços de internet (ISPs) centralizados.

Vários moderadores do subreddit de Política de Privacidade e segurança se recusaram a aceitar a postagem inicialmente porque queriam uma análise mais aprofundada das alegações.

"Foi descoberto pelo meu parceiro emminha startup, já que estamos trabalhando em um serviço de VPN bloqueador de anúncios e 'BS' (bem como outras coisas, como mostrado no site)”, disse py4YQFdYkKhBK690mZql em uma mensagem direta para CoinDesk. “Ele mencionou ter notado isso enquanto observava seu tráfego DNS de saída em sua rede local."

Leia Mais: Como um processo contra o IRS está tentando expandir a Política de Privacidade para usuários de Cripto

As descobertas foram rapidamente confirmadas porpesquisadores de segurança no Twitter. Depois disso, a Brave confirmou que estava ciente do problema e enviou umapatch de segurança para o navegador na sexta-feira à noite.

Os vazamentos já estavam em andamento há meses antes que a Brave tomasse conhecimento deles, disse Sean O'Brien, pesquisador principal daLaboratório de Segurança Digital ExpressVPN, que conduziu uma pesquisa mais aprofundada sobre a vulnerabilidade e a compartilhou exclusivamente com a CoinDesk. Não apenas as solicitações de domínio .onion eram observáveis, mas também todas as solicitações de domínio nas abas do Tor, o que significa que quando um site carregava conteúdo do YouTube, Google ou Facebook, todas essas solicitações podiam ser observáveis, mesmo que o conteúdo em si não fosse.

“Uma atualização do adblocking no navegador Brave introduziu uma vulnerabilidade que expôs os usuários do recurso mais privado do navegador – janelas e abas do Tor”, disse O’Brien. “Os usuários desse recurso Tor no Brave esperavam ter os sites que visitavam ocultos para seus ISPs, escolas e empregadores, mas essas informações de domínio (tráfego DNS) foram reveladas.

Vazamentos de DNS e cronograma de vulnerabilidades do Brave

Um vazamento de DNS cria uma trilha nos logs do servidor que pode ser seguida por autoridades policiais, hackers ou qualquer um que tenha acesso de alto nível à rede. O Tor é um navegador que permite comunicação anônima ao direcionar o tráfego da internet por uma grande rede de sobreposição, que oculta a localização do usuário e protege contra vigilância de rede ou análise de tráfego. Defensores da Política de Privacidade como Edward Snowden e outros têm defendido o Tor como uma ferramenta valiosa para proteção contra vigilância.

Aqueles que usam o serviço Tor Mode no navegador Brave esperam que seu tráfego seja protegido exatamente contra o tipo de logs de servidor DNS que ocorreram como resultado desse vazamento, o que pode revelar quais sites eles estão acessando.

“Fundamentalmente, seu ISP saberia se você visitou sites .onion e se eles rastreassem um log de todos os sites que você visitou, eles poderiam denunciá-lo como ‘suspeito’”, disse o pesquisador de segurança pseudônimo SerHack em uma mensagem direta.

O Tor Project, criador do navegador Tor, não quis comentar este artigo.

“A Brave alerta os usuários que as janelas e abas do Tor em seu navegador não fornecem o mesmo nível de Política de Privacidade que o Tor Browser, que é desenvolvido diretamente pelo Tor Project”, disse O'Brien. “No entanto, esse vazamento de DNS foi devidamente descrito como ‘flagrante’pelo CSO da Brave.”

Leia Mais: Aplicativo de Cripto popular descoberto por ter vínculos com empresa de rastreamento de dados

O'Brien examinou cada versão do navegador Brave desde seu lançamento no final de 2019.

Ao fazer isso, ele descobriu que o vazamento de DNS apareceu pela primeira vez em um patch para "Suporte CNAME adblocking #11712".que foi introduzidopara o código-fonte do navegador em 14 de outubro de 2020. Ele foi incluído na compilação noturna do navegador Brave no mesmo dia.

O Navegador corajosotem duas versões – uma compilação noturna para desenvolvedores e uma compilação estável para usuários comuns. As alterações feitas na compilação noturna são testadas e, então, eventualmente incorporadas à compilação estável.

A Brave lançou a atualização contendo a vulnerabilidade de vazamento de DNS para a versão estável do navegador em 20 de novembro de 2020.

A vulnerabilidade não foi relatada até 12 de janeiro de 2021.de acordo com o Github, via HackerOne. A Brave lançou uma correção para ele na compilação noturna em 4 de fevereiro, mas até que py4YQFdYkKhBK690mZq publicasse o problema no Reddit e fosse confirmado por outros pesquisadores, a Brave T havia lançado uma correção para a compilação estável.

Leia Mais: Brave se torna o primeiro navegador a oferecer integração nativa com IPFS

O Brave lançou a correção da compilação estável na sexta-feira à noite, no mesmo dia em que os relatórios do problema foram tornados públicos. A CoinDesk confirmou que a compilação estável do Brave não está mais vazando informações para servidores DNS.

Isso significa que, por meses, usuários que estavam usando o modo Tor com o entendimento de que seu tráfego era privado estavam, na verdade, tendo-o registrado em servidores DNS, deixando para trás um rastro de sua atividade online. A compilação estável foi corrigida duas semanas após a compilação noturna.

No geral, a versão noturna do Brave vazou por 113 dias, enquanto a versão estável vazou por 91 dias.

“Essa coisa toda é um incidente assustador para pessoas [que] querem proteger sua Política de Privacidade”, disse SerHack. “Parece que a Brave não prestou atenção a todos os detalhes, e esse episódio deve nos alertar que um único erro pode anular todos os esforços em Política de Privacidade.”

Resposta do Brave

Em resposta a perguntas sobre há quanto tempo isso era um problema, quais eram as implicações para os usuários e como a Brave poderia garantir que algo assim T acontecesse no futuro, Sydney Huffman, porta-voz da Brave, emitiu a seguinte declaração:

“Em meados de janeiro de 2021, fomos informados sobre um bug que permitiria que um invasor de rede visse solicitações de DNS feitas em uma janela privada no Brave com conectividade Tor. A causa raiz foi um novo recurso de bloqueio de anúncios chamado CNAME adblocking, que iniciava solicitações de DNS que não passavam pelo Tor para verificar se um domínio deveria ser bloqueado.

"Este bug foi descoberto e relatado por xiaoyinl no HackerOne. Respondemos imediatamente ao relatório e incluímos uma correção para esta vulnerabilidade na atualização noturna de 4 de fevereiro de 2021 (https://github.com/brave/brave-core/pull/7769). Como é nosso processo usual para correções de bugs, testamos as alterações no nightly para garantir que elas T causaram regressões ou outros bugs antes de lançá-las no canal estável.”

Leia Mais: Este malware evasivo tem como alvo carteiras de Cripto há um ano

Huffman acrescentou que, dada a gravidade do problema e o fato de que agora ele é público (tornando-o mais fácil de explorar), a empresa acelerou o cronograma para resolver o problema e o divulgou na sexta-feira.

Ela também observou que usar uma janela privada com conectividade Tor através do Brave não é o mesmo que usar o Tor Browser.

“Se sua segurança pessoal depende de permanecer anônimo, recomendamos fortemente usar o Tor Browser em vez do Brave Tor Windows”, disse ela.

Embora o reconhecimento e a solução QUICK para o problema tenham sido um resultado final positivo, casos como esses servem como um lembrete das inúmeras maneiras pelas quais a Política de Privacidade pode ser comprometida on-line, mesmo quando os usuários acham que estão tomando medidas para se proteger.

O alto nível de anonimato que o Tor pode fornecer foi quebrado, e essa vulnerabilidade pode ter permitido que intermediários de rede ou invasores espionassem os usuários e rastreassem os sites que eles visitam, de acordo com O'Brien.

“A boa notícia é que o conteúdo que viajou pela rede, como conversas ou arquivos, parece ter sido protegido pelo Tor”, ele disse. “Usuários em situações perigosas, no entanto, poderiam ter sido colocados em risco, especialmente se agissem com menos cautela porque esperavam anonimato.”