Аудит безопасности Tor Browser: Обнаружено 2 уязвимости высокого риска

2023-10-27 6629 комментарии
Аудит Tor Browser от Cure53 выявил 19 проблем, из них 3 – уязвимости безопасности. Две серьёзные и одна средняя быстро устранены. Проект планирует регулярные аудиты для улучшения безопасности

Команда проекта Tor обратилась к специалистам по тестированию на проникновение компании Cure53 с просьбой провести аудит основных компонентов проекта. Среди этих компонентов было ПО BridgeDB, инфраструктура сборки, специфические изменения в Tor Browser и ПО rdsys. Tor Browser — это браузер на основе Firefox, созданный специально для обеспечения анонимности пользователей и доступа к заблокированным ресурсам.

За рамками аудита остался общий анализ кодовой базы браузера Firefox.

Эксперты Cure53 анализировали шесть основных компонентов Tor Browser в течение 72 дней, начиная с февраля 2023 года. В ходе анализа компоненты были разделены на шесть отдельных рабочих пакетов. В этот период времени в работу включились восемь старших тестировщиков, обладающих соответствующими навыками.

Команда обнаружила в общей сложности 19 различных проблем, из которых три были признаны уязвимостями безопасности, а остальные 16 — проблемами, не связанными с безопасностью, поскольку они «не несут в себе большого потенциала эксплуатации».

Две уязвимости, получившие высокую оценку, и одна проблема безопасности, получившая среднюю оценку, были устранены разработчиками Tor вскоре после окончания проверки.

Одна из проблем была обнаружена в исходном коде rdsys.

Система распределения ресурсов (Resource Distribution System) используется для предоставления доступа к ресурсам цензурируемым пользователям. В rdsys отсутствовала регистрация конечных точек ресурсов, что могло позволить злоумышленникам «регистрировать произвольные вредоносные ресурсы для распространения среди пользователей».

Вторая серьезная уязвимость была обнаружена в возвращаемом списке мостов, которые не был криптографически подписан. Это могло позволить злоумышленникам потенциально подслушивать соединение или «получаить доступ к серверу, предоставляющему список мостов».

Третья и последняя проблема, получившая среднюю оценку, заключалась в повышении привилегий от nobody до rdsys в сценарии развертывания.

В проекте реализованы «надежные механизмы аутентификации» для всех конечных точек и «криптографические средства для проверки Tor как распространителя». Это должно существенно снизить риск несанкционированного доступа и взлома.

В целом, аудиторы высоко оценили проект за «очень надежную и укрепленную систему безопасности и продуманные проектные решения».

Tor Browser — специализированный браузер, созданный специально для защиты частной жизни пользователей и обеспечения их анонимности в Интернете. Он основан на Firefox ESR, но включает в себя ряд модификаций и функций, которые отсутствуют или не установлены в Firefox по умолчанию.

Полный отчет по результатам аудита опубликован в виде PDF-документа.

Проект Tor объявил о своих планах проводить регулярные аудиты безопасности и делиться их результатами с общественностью.

Количество обнаруженных проблем не является редкостью для проекта такого масштаба. Только три из них были оценены как проблемы безопасности, остальные 16 получили низкую или информационную оценку.

Пользователей Tor Browser должен обнадеживать тот факт, что команда оперативно приняла меры и планирует в будущем регулярно проводить оценку безопасности для повышения общего уровня защищенности проекта.

© . По материалам Ghacks
Комментарии и отзывы

Нашли ошибку?

Новое на сайте