Il browser open source Tor, è stato aggiornato alla versione 10.0.18 con correzioni su diversi problemi, incluso un bug che violava la privacy e che potrebbe essere utilizzato per identificare, in modo univoco, gli utenti su browser diversi in base alle APP installate su un computer.

Oltre ad aggiornare Tor alla 0.4.5.9, la versione Android del browser è stata aggiornata a Firefox alla versione 89.1.1, oltre a incorporare le patch implementate da Mozilla per diverse vulnerabilità di sicurezza risolte in Firefox 89.

Il principale tra i problemi risolti è un nuovo attacco venuto alla luce il mese scorso. Soprannominato schema flooding, la vulnerabilità consente a un sito Web dannoso di sfruttare le informazioni sulle app installate sul sistema per assegnare agli utenti un identificatore univoco permanente anche quando cambiano browser, utilizzano la modalità di navigazione in incognito o una VPN.

In altre parole, la debolezza sfrutta gli schemi URL personalizzati nelle app come vettore di attacco, consentendo a un malintenzionato di tracciare l'utente di un dispositivo tra diversi browser, inclusi Chrome, Firefox, Microsoft Edge, Safari e persino Tor, aggirando efficacemente le protezioni cross-browser dell'anonimato su Windows, Linux e macOS.

"Un sito Web che sfrutti la vulnerabilità al flooding potrebbe creare un identificatore stabile e univoco in grado di collegare tra loro le identità di navigazione"

ha affermato il ricercatore di FingerprintJS Konstantin Darutkin.

Attualmente, l'attacco controlla un elenco di 24 applicazioni installate che comprende Adobe, Battle.net, Discord, Epic Games, ExpressVPN, Facebook Messenger, Figma, Hotspot Shield, iTunes, Microsoft Word, NordVPN, Notion, Postman, Sketch, Skype, Slack, Spotify, Steam, TeamViewer, Telegram, Visual Studio Code, WhatsApp, Xcode e Zoom.

Il problema ha serie implicazioni per la privacy in quanto potrebbe essere sfruttato dai malintenzionati per smascherare gli utenti Tor correlando le loro attività di navigazione mentre passano a un browser non anonimo, come Google Chrome. Per contrastare l'attacco, Tor ora imposta "network.protocol-handler.external" su false in modo da impedire al browser di sondare le app installate.

Degli altri tre browser, mentre Google Chrome dispone di protezioni integrate - impedisce l'avvio di qualsiasi applicazione a meno che non venga attivato da un gesto dell'utente, come un clic del mouse - è stato scoperto che il visualizzatore PDF del browser aggira questa mitigazione.

"Fino a quando questa vulnerabilità non viene risolta, l'unico modo per avere sessioni di navigazione private non associate al tuo dispositivo principale è utilizzare un altro dispositivo"

ha affermato Darutkin. Si consiglia agli utenti del browser Tor di muoversi rapidamente per applicare l'aggiornamento per assicurarsi che siano protetti.

Lo sviluppo arriva poco più di una settimana dopo che il servizio di messaggistica crittografata Wire ha risolto due vulnerabilità critiche nella sua app iOS e Web che potrebbero portare a un denial-of-service ( CVE-2021-32666 ) e consentire a un utente malintenzionato di prendere il controllo di un account utente ( CVE-2021-32683 ).

Fonte

https://bugs.chromium.org/p/chromium/issues/detail?id=1208903

https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/40432

https://fingerprintjs.com/blog/external-protocol-flooding/

https://github.com/fingerprintjs/external-protocol-flooding

https://thehackernews.com/2021/06/patch-tor-browser-bug-to-prevent.html