Brave Browser місяцями викривав адреси в режимі Tor

За словами дослідників безпеки, браузер Brave, який наголошує на Політика конфіденційності та безпеці, витікає з даних протягом місяців.

У п'ятницю користувач Reddit "py4YQFdYkKhBK690mZql» опубліковано на форумі що режим Tor від Brave, представлений у 2018 році, надсилав запити на домени .onion до DNS-перетворювачів, а не до приватних вузлів Tor. Резолвер DNS – це сервер, який перетворює доменні імена на IP-адреси. Це означає, що сайти .onion, які шукали люди, розуміючи, що ці пошуки будуть приватними, такими не були. Фактично, вони могли спостерігатися централізованими інтернет-провайдерами (ISP).

Різні модератори субредітів Політика конфіденційності та безпеки спочатку відмовилися прийняти публікацію, оскільки хотіли більше перевірити претензії.

«Це виявив мій партнер по мій стартап, оскільки ми працюємо над службою VPN, що блокує рекламу та «BS» (а також інші речі, як показано на сайті), — сказав py4YQFdYkKhBK690mZql у прямому повідомленні CoinDesk. «Він згадав, що помітив це під час спостереження за вихідним трафіком DNS у своїй локальній мережі».

Читайте також: Як позов проти IRS намагається розширити Політика конфіденційності для користувачів Крипто

Висновки були швидко підтверджені дослідники безпеки в Twitter. Після цього Brave підтвердив, що знає про проблему, і натиснув a патч безпеки для браузера в п'ятницю ввечері.

Шон О’Брайен, головний дослідник компанії Brave, заявив, що витоки інформації тривали кілька місяців, перш ніж Brave про них дізнався. Лабораторія цифрової безпеки ExpressVPN, який провів подальше дослідження вразливості та поділився нею виключно з CoinDesk. Можна було спостерігати не лише запити домену .onion, але й усі запити домену на вкладках Tor, тобто коли веб-сайт завантажував вміст із YouTube, Google або Facebook, усі ці запити могли бути спостережними, навіть якщо сам вміст не був.

«Оновлення блокування реклами в браузері Brave показало вразливість, яка виявила для користувачів найбільш приватну функцію браузера – вікна та вкладки Tor», – сказав О’Брайен. «Користувачі цієї функції Tor у Brave очікували, що веб-сайти, які вони відвідують, будуть приховані для своїх провайдерів, шкіл і роботодавців, але натомість ця інформація про домен (трафік DNS) була розкрита.

Витоки DNS і графік уразливостей Brave

Витік DNS створює слід у журналах сервера, за яким можуть стежити правоохоронні органи, хакери або будь-хто, хто має доступ до мережі високого рівня. Tor — це браузер, який забезпечує анонімне спілкування, скеровуючи інтернет-трафік через велику накладену мережу, яка приховує місцезнаходження користувача та захищає від мережевого спостереження або аналізу трафіку. Прихильники Політика конфіденційності , такі як Едвард Сноуден та інші, виступали за Tor як цінний інструмент для захисту від стеження.

Ті, хто використовує службу режиму Tor у браузері Brave, очікують, що їхній трафік буде захищений саме від журналів DNS-сервера, які виникли в результаті цього витоку, що може виявити, до яких веб-сайтів вони мають доступ.

«По суті, ваш інтернет-провайдер знатиме, чи відвідували ви веб-сайти .onion, і якщо вони відстежуватимуть журнали всіх веб-сайтів, які ви відвідали, вони можуть повідомити про вас як про «підозрілих», — сказав дослідник безпеки SerHack під псевдонімом у прямому повідомленні.

Проект Tor, розробник браузера Tor, відмовився коментувати цей матеріал.

«Brave попереджає користувачів, що вікна та вкладки Tor у його браузері не забезпечують такий же рівень Політика конфіденційності , як Tor Browser, який розроблено безпосередньо Tor Project», — сказав О'Брайен. «Однак цей витік DNS був належним чином описаний як "кричущий" від CSO Brave».

Читайте також: Виявлено, що популярна програма Крипто пов’язана з компанією з відстеження даних

О’Брайен перевірив кожну збірку браузера Brave, починаючи з моменту його запуску наприкінці 2019 року.

При цьому він виявив, що витік DNS вперше з’явився в патчі для «Підтримка блокування реклами CNAME №11712». який був введений до вихідного коду веб-переглядача 14 жовтня 2020 р. Того ж дня він був включений у нічну збірку браузера Brave.

The Хоробрий браузер має дві версії – нічну збірку для розробників і стабільну збірку для звичайних користувачів. Зміни, внесені в нічну збірку, перевіряються, а потім зрештою включаються в стабільну збірку.

20 листопада 2020 року компанія Brave випустила оновлення, яке містить уразливість до витоку DNS для стабільної збірки браузера.

Про вразливість не повідомлялося до 12 січня 2021 р. згідно Github, через HackerOne. Brave випустив виправлення для цього у вечірній збірці 4 лютого, але поки py4YQFdYkKhBK690mZq не оприлюднив проблему на Reddit і її не підтвердили інші дослідники, Brave T випустив виправлення для стабільної збірки.

Читайте також: Brave стає першим браузером, який пропонує вбудовану інтеграцію IPFS

У п’ятницю ввечері Brave надав виправлення стабільної збірки, того ж дня було оприлюднено повідомлення про проблему. CoinDesk підтвердив, що стабільна збірка Brave більше не передає інформацію на DNS-сервери.

Це означає, що протягом кількох місяців користувачі, які використовували режим Tor, усвідомлюючи, що їхній трафік приватний, насправді реєстрували його на DNS-серверах, залишаючи за собою слід своєї онлайн-активності. Стабільну збірку було виправлено через два тижні після нічної збірки.

Загалом, нічна збірка Brave витікала протягом 113 днів, тоді як стабільна збірка робила це протягом 91 дня.

«Вся ця подія — такий страшний інцидент для людей, [які] хочуть захистити свою Політика конфіденційності», — сказав СерХак. «Здається, Брейв не звернув увагу на всі деталі, і цей епізод має попередити нас, що одна помилка може звести нанівець усі зусилля щодо Політика конфіденційності».

Відповідь Брайва

У відповідь на запитання про те, як довго це була проблема, які наслідки для користувачів і як Brave може забезпечити, щоб щось подібне T відбувалося в майбутньому, Сідней Хаффман, представник Brave, зробив таку заяву:

"У середині січня 2021 року нам стало відомо про помилку, яка дозволяла мережевому зловмиснику бачити DNS-запити, зроблені в приватному вікні в Brave з підключенням Tor. Основною причиною стала нова функція блокування реклами під назвою CNAME adblocking, яка ініціювала запити DNS, які не проходили через Tor, щоб перевірити, чи потрібно блокувати домен.

«Цю помилку виявив і повідомив xiaoyinl на HackerOne. Ми негайно відреагували на повідомлення та включили виправлення цієї вразливості в нічне оновлення 4 лютого 2021 року (https://github.com/brave/brave-core/pull/7769). Як і наш звичайний процес виправлення помилок, ми щоночі тестували зміни, щоб переконатися, що вони T викликають регресії чи інших помилок перед випуском у стабільний канал».

Читайте також: Ця невловима шкідлива програма націлена на Крипто протягом року

Хаффман додав, що враховуючи серйозність проблеми та той факт, що вона стала загальнодоступною (що полегшує її використання), компанія прискорила терміни вирішення цієї проблеми та оприлюднила її в п’ятницю.

Вона також зазначила, що використання приватного вікна з підключенням Tor через Brave не те саме, що використання Tor Browser.

«Якщо ваша особиста безпека залежить від збереження анонімності, ми настійно рекомендуємо використовувати Tor Browser замість Brave Tor windows», — сказала вона.

Хоча розпізнавання та QUICK вирішення проблеми дали позитивний кінцевий результат, подібні випадки служать нагадуванням про безліч способів порушення Політика конфіденційності в Інтернеті, навіть якщо користувачі думають, що вживають заходів для захисту.

Високий рівень анонімності, який може забезпечити Tor, було порушено, і ця вразливість могла дозволити мережевим посередникам або зловмисникам стежити за користувачами та відстежувати, які веб-сайти вони відвідують, за словами О’Брайена.

«Доброю новиною є те, що вміст, який переміщався по мережі, наприклад розмови чи файли, здається, був захищений Tor», — сказав він. «Проте користувачі в небезпечних ситуаціях могли бути піддані ризику, особливо якщо вони діяли з меншою обережністю, оскільки очікували анонімності».