Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

O projeto Tor lançou uma atualização de segurança para o Tor Browser nas versões para Mac e Linux, afim de corrigir uma vulnerabilidade que vazou endereços IP reais dos seus usuários.


A vulnerabilidade foi detectada por Filippo Cavallarin, CEO da We Are Segment, uma empresa italiana especializada em cibersegurança e hacking ético.
Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

Vulnerabilidade TurMoil vazou endereços IP reais de usuários do navegador Tor

Cavallarin reportou o problema em particular — com o codinome TorMoil — para o projeto Tor na semana passada. Os desenvolvedores do Tor Project trabalharam com a equipe do Firefox [o Tor Browser é baseado no navegador Firefox] para liberar uma correção.

A equipe do Tor lançou a v7.0.9 para abordar a vulnerabilidade. O Tor browser v7.0.9 só está disponível para usuários Mac e Linux. A versão do Tor Browser para Windows não é afetada.

Vazamento de IP causada por links “file://”

De acordo com Cavallarin, a questão real é um bug do Firefox na forma como o navegador lida com URLs file://. Embora o problema seja inofensivo no Firefox, é catastrófico no Tor Browser.

“Uma vez que um usuário afetado [Tor Browser] navega para uma página Web especial, o sistema operacional pode se conectar diretamente ao host remoto, ignorando o navegador Tor”, disse Cavallarin.

Ao se conectar diretamente à página, o Tor Browser não passará pela rede de Tor relays, expondo o endereço IP real do usuário ao mundo.

TorMoil “ainda” não foi explorado na wild

Não estamos cientes de que a vulnerabilidade está sendo explorada na wild”, o projeto Tor disse recentemente em uma indicação. No entanto, um invasor pode realizar uma engenharia reserva do Tor Browser binário e detectar o código corrigido. Um programador bem versado pode então facilmente entender como o bug ocorre e criar um exploit para ele.

Embora a maioria dos usuários Linux sejam afetados, a equipe do Projeto Tor disse que os usuários que executam o Tor Browser não são afetados, bem como os usuários que utilizam a versão de sandboxed (Alpha-Stage) do navegador.

Os desenvolvedores do Tor também acrescentaram que o patch que eles entregaram para corrigir o vazamento de IP é apenas uma solução alternativa — adicionados rapidamente para interromper o vazamento — e a funcionalidade URL file:// pode ser quebrada para os usuários em algumas situações. De acordo com os desenvolvedores de navegador Tor, os usuários podem ser capazes de abrir URLs file:// arrastando e soltando o link em uma nova aba.

O projeto Tor anunciou em julho o lançamento de um programa público de recompensas de bugs para incentivar os pesquisadores de segurança a relatarem problemas no software.

Ao contrário de seu programa de recompensas de bugs somente para convidados, este programa de prêmios está aberto a todos os caçadores de prêmios através do HackerOne.

No ano passado, através do seu programa de prêmios privados, o Tor Project corrigiu uma vulnerabilidade Zero Day a para tirar o anonimato dos usuários Tor.

O que está sendo falado no blog nos últimos dias


Deixe um comentário

Sair da versão mobile