Браузер Brave месяцами раскрывал адреса в режиме Tor

По данным исследователей безопасности, браузер Brave, который делает упор на Политика конфиденциальности и безопасность, уже несколько месяцев допускает утечку данных.

В пятницу пользователь Reddit «py4YQFdYkKhBK690mZql”размещено на форумечто режим Tor Brave, представленный в 2018 году, отправлял запросы на домены .onion на DNS-резолверы, а не на частные узлы Tor. DNS-резолвер — это сервер, который преобразует доменные имена в IP-адреса. Это означает, что сайты .onion, которые искали люди, понимая, что эти поиски будут частными, таковыми не являлись. Фактически, они могли отслеживаться централизованными поставщиками интернет-услуг (ISP).

Несколько модераторов раздела Reddit, посвященного Политика конфиденциальности и безопасности, изначально отказались принять публикацию, поскольку хотели более тщательной проверки утверждений.

«Это было обнаружено моим партнером намой стартап, поскольку мы работаем над сервисом VPN, блокирующим рекламу и «BS» (а также другие вещи, как показано на сайте)», — сказал py4YQFdYkKhBK690mZql в прямом сообщении CoinDesk. «Он упомянул, что заметил это, наблюдая за исходящим DNS-трафиком в своей локальной сети».

Читать дальше: Как иск против IRS пытается расширить Политика конфиденциальности пользователей Криптo

Результаты были быстро подтвержденыисследователи безопасности в Twitter. После этого Brave подтвердил, что знает о проблеме, и отправилОбновление безопасности для браузера в пятницу вечером.

Утечки продолжались в течение нескольких месяцев, прежде чем Brave узнала о них, сказал Шон О'Брайен, главный исследовательЛаборатория цифровой безопасности ExpressVPN, который провел дальнейшее исследование уязвимости и поделился им эксклюзивно с CoinDesk. Наблюдались не только запросы домена .onion, но и все запросы домена во вкладках Tor, что означает, что когда веб-сайт загружал контент с YouTube, Google или Facebook, все эти запросы могли быть наблюдаемыми, даже если сам контент не был наблюдаемым.

«Обновление блокировки рекламы в браузере Brave внесло уязвимость, которая раскрыла пользователей самой приватной функции браузера — окон и вкладок Tor», — сказал О'Брайен. «Пользователи этой функции Tor в Brave ожидали, что посещаемые ими веб-сайты будут скрыты от их интернет-провайдеров, школ и работодателей, но вместо этого информация о домене (трафик DNS) была раскрыта.

Утечки DNS и хронология уязвимостей Brave

Утечка DNS оставляет след в журналах сервера, который могут отслеживать правоохранительные органы, хакеры или любой, у кого есть доступ к сети высокого уровня. Tor — это браузер, который обеспечивает анонимную связь, направляя интернет-трафик через большую оверлейную сеть, которая скрывает местоположение пользователя и защищает от сетевого наблюдения или анализа трафика. Сторонники Политика конфиденциальности , такие как Эдвард Сноуден и другие, ратуют за Tor как за ценный инструмент защиты от наблюдения.

Пользователи сервиса режима Tor в браузере Brave ожидают, что их трафик будет защищен именно от тех журналов DNS-серверов, которые появились в результате этой утечки и которые могут раскрыть, к каким веб-сайтам они обращаются.

«По сути, ваш интернет-провайдер будет знать, посещали ли вы веб-сайты .onion, и если он отслеживает журнал всех посещенных вами веб-сайтов, он может сообщить о вас как о «подозрительных»», — написал в прямом сообщении исследователь безопасности под псевдонимом SerHack.

Tor Project, создатели браузера Tor, отказались комментировать эту статью.

«Brave предупреждает пользователей, что окна и вкладки Tor в его браузере не обеспечивают тот же уровень Политика конфиденциальности , что и Tor Browser, который разработан непосредственно Tor Project», — сказал О'Брайен. «Однако эта утечка DNS была должным образом описывается как «вопиющий»CSO компании Brave».

Читать дальше: Популярное Криптo оказалось связано с компанией по отслеживанию данных

О'Брайен изучил каждую сборку браузера Brave с момента его запуска в конце 2019 года.

При этом он обнаружил, что утечка DNS впервые проявилась в патче для «Support CNAME adblocking #11712».который был представленв исходный код браузера 14 октября 2020 года. В тот же день он был включен в ночную сборку браузера Brave.

TheБраузер Braveимеет две версии – ночную сборку для разработчиков и стабильную сборку для обычных пользователей. Изменения, внесенные в ночную сборку, тестируются и затем в конечном итоге включаются в стабильную сборку.

Brave выпустила обновление, содержащее уязвимость утечки DNS, для стабильной сборки браузера 20 ноября 2020 года.

Об уязвимости не сообщалось до 12 января 2021 года.по данным Github, через HackerOne. Brave выпустила исправление для него в ночной сборке 4 февраля, но до тех пор, пока py4YQFdYkKhBK690mZq не опубликовал информацию о проблеме на Reddit и ее не подтвердили другие исследователи, Brave T выпустила исправление для стабильной сборки.

Читать дальше: Brave стал первым браузером, предлагающим встроенную интеграцию IPFS

Brave выпустил исправление стабильной сборки в пятницу вечером, в тот же день, когда были опубликованы сообщения о проблеме. CoinDesk подтвердил, что стабильная сборка Brave больше не передает информацию на DNS-серверы.

Это означает, что в течение месяцев пользователи, которые использовали режим Tor, понимая, что их трафик является приватным, на самом деле регистрировали его на DNS-серверах, оставляя след своей онлайн-активности. Стабильная сборка была исправлена через две недели после ночной сборки.

В целом, ночная сборка Brave утекала в течение 113 дней, тогда как стабильная сборка — 91 день.

«Вся эта история — такой страшный инцидент для людей, [которые] хотят защитить свою Политика конфиденциальности», — сказал SerHack. «Похоже, Brave не обратил внимания на все детали, и этот эпизод должен предупредить нас, что одна-единственная ошибка может свести на нет все усилия по обеспечению Политика конфиденциальности».

Ответ Brave

В ответ на вопросы о том, как долго существует эта проблема, каковы ее последствия для пользователей и как Brave может гарантировать, что подобное T повторится в будущем, Сидни Хаффман, представитель Brave, сделал следующее заявление:

«В середине января 2021 года нам стало известно об ошибке, которая позволяла сетевому злоумышленнику видеть DNS-запросы, сделанные в приватном окне в Brave с подключением Tor. Основной причиной была новая функция блокировки рекламы под названием CNAME adblocking, которая инициировала DNS-запросы, не проходящие через Tor, чтобы проверить, следует ли блокировать домен.

«Эта ошибка была обнаружена и сообщена xiaoyinl на HackerOne. Мы немедленно отреагировали на сообщение и включили исправление этой уязвимости в ночное обновление от 4 февраля 2021 года (https://github.com/brave/brave-core/pull/7769). Как и обычно, мы тестируем изменения каждую ночь, чтобы убедиться, что они T вызывают регрессий или других ошибок перед выпуском в стабильной версии».

Читать дальше: Эта неуловимая вредоносная программа уже год атакует Криптo

Хаффман добавил, что, учитывая серьезность проблемы и тот факт, что она теперь стала общедоступной (что упрощает ее использование), компания ускорила сроки устранения этой проблемы и опубликовала информацию в пятницу.

Она также отметила, что использование приватного окна с подключением Tor через Brave — это не то же самое, что использование Tor Browser.

«Если ваша личная безопасность зависит от сохранения анонимности, мы настоятельно рекомендуем использовать Tor Browser вместо Brave Tor Windows», — сказала она.

Хотя признание проблемы и ее QUICK решение стали положительным конечным результатом, подобные случаи служат напоминанием о множестве способов нарушения Политика конфиденциальности в Интернете, даже если пользователи думают, что принимают меры для обеспечения своей безопасности.

По словам О'Брайена, высокий уровень анонимности, который может обеспечить Tor, был нарушен, и эта уязвимость могла позволить сетевым посредникам или злоумышленникам шпионить за пользователями и отслеживать, какие веб-сайты они посещают.

«Хорошая новость заключается в том, что контент, который передавался по сети, например, разговоры или файлы, по-видимому, был защищен Tor», — сказал он. «Однако пользователи в опасных ситуациях могли подвергаться риску, особенно если они действовали менее осторожно, поскольку ожидали анонимности».