В Tor Browser исправлена уязвимость, которая позволяла отслеживать пользователей с помощью установленных приложений

2021-06-22 4165 комментарии
Организация Tor Project выпустила новую версию веб-браузера Tor Browser 10.0.18 с исправлением уязвимости, которая позволяла сайтам отслеживать активность пользователей, снимая цифровые профили с установленных на устройстве приложений

Еще в мае компания FingerprintJS, занимающаяся технологиями отслеживания на основе JavaScript, обнаружила уязвимость типа scheme flooding («затопление схемы»), которая делает возможным отслеживание пользователей на основе приложений, установленных на устройстве.

Для отслеживания пользователей создается профиль отслеживания на основе попыток  открыть различные обработчики URL-адресов приложений, например zoommtg://, после чего проверяется передает ли браузер запрос установленному приложению, например Zoom.

Если запрос приложения отображается, можно предположить, что соответствующее приложение установлено на устройстве. Проверяя многочисленные обработчики URL-адресов, уязвимость позволяет создать идентификатор на основе уникальной конфигурации установленных на устройстве пользователя приложений.

Затем данный идентификатор можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.

Данная уязвимость является особенно критичной для пользователей Tor, которые используют браузер для сокрытия своей личности и IP-адреса. Поскольку эта уязвимость отслеживает пользователей в разных браузерах, то она позволяет веб-сайтам и даже правоохранительным органам отслеживать реальный IP-адрес при переключении на обычный (не анонимизирующий) браузер, такой как Chrome.

В Tor Browser 10.0.18 организация Tor Project представила исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false.

Этот параметр по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, запросы приложений больше не запускаются.

Полный список изменений Tor Browser 10.0.18

  • Все платформы
    • Обновление Tor до версии 0.4.5.9
  • Android
    • Обновление Fenix до 89.1.1
    • Обновление NoScript до 11.2.8
    • Ошибка 40055: применен rebase патчей для Android-компонентов на 75.0.22 для Fenix 89
    • Ошибка 40165: объявление о прекращении поддержки службы onion onion v2 на about:tor
    • Ошибка 40166: скрытие вкладки «Обычный» (снова) и вкладки «Синхронизация» в TabTray
    • Ошибка 40167: скрытие «Сохранить в коллекцию» в меню.
    • Ошибка 40169: применен rebase патчей fenix на fenix v89.1.1
    • Ошибка 40170: ошибка при создании tor-browser-89.1.1-10.5-1
    • Ошибка 40432: предотвращение проверки установленных приложений.
    • Ошибка 40470: применен rebase патчей 10.0 на 89.0
  • Система сборки
    • Android
      • Ошибка 40290: обновление компонентов для Fenix на базе mozilla89.

Вы можете обновить Tor перейдя в Справка > О браузере Tor. В этом случае будет запущена автоматическая проверка и установка обновлений.

Также скачать новую версию Tor Browser можно на нашем сайте.

Скачать Tor Browser

© . По материалам Bleeping Computer

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?