Tor Browser obsahuje zero-day zranitelnosti, vývojáři prý neřeší opravu

Software pro anonymizaci Tor bývá považován za jeden z nejbezpečnějších způsobů přístupu k internetu, i když zcela „neprůstřelný“ v žádném případě není. Bezpečnostní výzkumník dr. Neal Krawetz, který sám provozuje několik uzlů v síti Tor, se zabezpečením tohoto softwaru zabývá dlouhodobě. V minulosti kritizoval neziskovou organizaci Tor Project kvůli chybějící možnosti snadného nahlášení chyb. Tento nedostatek měl být vyřešen v roce 2017, kdy vývojáři v reakci na kritiku změnili design webových stránek, aby usnadnili hlášení chyb. Kromě toho také spustili bug bounty program prostřednictvím platformy HackerOne, kde mohou uživatelé získat odměnu za objevené zranitelnosti.

 

 

Krawetz ovšem tvrdí, že na neschopnosti řešit nahlášené chyby se nic moc nezměnilo. A nedávno mu došla trpělivost kvůli dvěma letošním událostem. První byl masivní DDoS útok v únoru, kdy byl vážně zasaženy i Krawetzovy služby, ale díky rychlému zjištění příčiny se vývojáři povedlo dát vše rychle do pořádku. Zranitelnost proto nahlásil přes bug bounty program a na žádost organizace Tor Project poskytl velmi detailní popis problému. Po diskuzi plné technických detailů ovšem dostal od zástupce podpory překvapivou odpověď, že se v daném vlákně „začíná ztrácet“ a pokud nemá žádnou konkrétní chybu, za kterou by mohl dostat odměnu, nemohou mu jinak pomoci.

 

Již v roce 2017 se ovšem Krawetz snažil nahlásit jinou zranitelnost, ale kvůli tehdejší absenci rozhraní pro oznámení chyb se mu to ovšem nepodařilo. Ačkoliv problém ohlásil později přes platformu HackerOne, získal za její objevení odměnu a případ byl označen jako vyřešený, zranitelnost v softwaru zůstala. Podobných zážitků měl více, proto se letos v červnu rozhodl ukončil spolupráci s organizací Tor Project a zveřejnit podrobnosti na svém blogu. Zatím v příspěvcích popisuje dvojici zero-day chyb (tj. neopravených), které umožňují poskytovatelům internetového připojení nebo třeba zaměstnavatelům blokovat přístup k síti Tor, a to pomocí detekce odlišných paketů.

 

Zatímco první chyba se týká přímého spojení se sítí Tor, druhá umožňuje poznat i tzv. nepřímé spojení. Jedná se o postup, který je používán právě k oklamání ISP. Uživatel se totiž k síti Tor připojuje přes tzv. mosty, které fungují jako vstupní body, a jejich seznam se často mění, aby nebylo snadné přístup k nim zablokovat. Tyto chyby přitom mohou být zneužívány vládami v zemích s represivními režimy, kde je síť Tor zakázána (např. Čína, Saudská Arábie nebo Írán). Krawetz dodává, že v blízké době publikuje informace o třech dalších chybách. Jedna z nich, která umožňuje detekovat zmíněné mosty, byla objevena před minimálně osmi lety.

 

Zbylé dvě – jednu lze zneužít pro detekci operačního systému podle šířky posuvníku v prohlížeči a druhou k identifikaci knihovny SSL používané servery Tor – znají vývojáři přinejmenším od roku 2017. Tor se po publicitě rozhodl k chybám obsáhle vyjádřit a uvedl, že pro uživatele nepředstavují reálné riziko. Vývojáři ovšem prý dlouhodobě pracují na řešení.

 

Zdroj: Zdnet.com