Команда проекта Tor обратилась к специалистам по тестированию на проникновение компании Cure53 с просьбой провести аудит основных компонентов проекта. Среди этих компонентов было ПО BridgeDB, инфраструктура сборки, специфические изменения в Tor Browser и ПО rdsys. Tor Browser — это браузер на основе Firefox, созданный специально для обеспечения анонимности пользователей и доступа к заблокированным ресурсам.
За рамками аудита остался общий анализ кодовой базы браузера Firefox.
Эксперты Cure53 анализировали шесть основных компонентов Tor Browser в течение 72 дней, начиная с февраля 2023 года. В ходе анализа компоненты были разделены на шесть отдельных рабочих пакетов. В этот период времени в работу включились восемь старших тестировщиков, обладающих соответствующими навыками.
Команда обнаружила в общей сложности 19 различных проблем, из которых три были признаны уязвимостями безопасности, а остальные 16 — проблемами, не связанными с безопасностью, поскольку они «не несут в себе большого потенциала эксплуатации».
Две уязвимости, получившие высокую оценку, и одна проблема безопасности, получившая среднюю оценку, были устранены разработчиками Tor вскоре после окончания проверки.
Одна из проблем была обнаружена в исходном коде rdsys.
Система распределения ресурсов (Resource Distribution System) используется для предоставления доступа к ресурсам цензурируемым пользователям. В rdsys отсутствовала регистрация конечных точек ресурсов, что могло позволить злоумышленникам «регистрировать произвольные вредоносные ресурсы для распространения среди пользователей».
Вторая серьезная уязвимость была обнаружена в возвращаемом списке мостов, которые не был криптографически подписан. Это могло позволить злоумышленникам потенциально подслушивать соединение или «получаить доступ к серверу, предоставляющему список мостов».
Третья и последняя проблема, получившая среднюю оценку, заключалась в повышении привилегий от nobody до rdsys в сценарии развертывания.
В проекте реализованы «надежные механизмы аутентификации» для всех конечных точек и «криптографические средства для проверки Tor как распространителя». Это должно существенно снизить риск несанкционированного доступа и взлома.
В целом, аудиторы высоко оценили проект за «очень надежную и укрепленную систему безопасности и продуманные проектные решения».
Tor Browser — специализированный браузер, созданный специально для защиты частной жизни пользователей и обеспечения их анонимности в Интернете. Он основан на Firefox ESR, но включает в себя ряд модификаций и функций, которые отсутствуют или не установлены в Firefox по умолчанию.
Полный отчет по результатам аудита опубликован в виде PDF-документа.
Проект Tor объявил о своих планах проводить регулярные аудиты безопасности и делиться их результатами с общественностью.
Количество обнаруженных проблем не является редкостью для проекта такого масштаба. Только три из них были оценены как проблемы безопасности, остальные 16 получили низкую или информационную оценку.
Пользователей Tor Browser должен обнадеживать тот факт, что команда оперативно приняла меры и планирует в будущем регулярно проводить оценку безопасности для повышения общего уровня защищенности проекта.
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России