Еще в мае компания FingerprintJS, занимающаяся технологиями отслеживания на основе JavaScript, обнаружила уязвимость типа scheme flooding («затопление схемы»), которая делает возможным отслеживание пользователей на основе приложений, установленных на устройстве.
Для отслеживания пользователей создается профиль отслеживания на основе попыток открыть различные обработчики URL-адресов приложений, например zoommtg://, после чего проверяется передает ли браузер запрос установленному приложению, например Zoom.
Если запрос приложения отображается, можно предположить, что соответствующее приложение установлено на устройстве. Проверяя многочисленные обработчики URL-адресов, уязвимость позволяет создать идентификатор на основе уникальной конфигурации установленных на устройстве пользователя приложений.
Затем данный идентификатор можно отслеживать в разных браузерах, включая Google Chrome, Edge, Tor Browser, Firefox и Safari.
Данная уязвимость является особенно критичной для пользователей Tor, которые используют браузер для сокрытия своей личности и IP-адреса. Поскольку эта уязвимость отслеживает пользователей в разных браузерах, то она позволяет веб-сайтам и даже правоохранительным органам отслеживать реальный IP-адрес при переключении на обычный (не анонимизирующий) браузер, такой как Chrome.
В Tor Browser 10.0.18 организация Tor Project представила исправление этой уязвимости, установив для параметра network.protocol-handler.external значение false.
Этот параметр по умолчанию не позволяет браузеру передавать обработку определенного URL-адреса внешнему приложению и, таким образом, запросы приложений больше не запускаются.
Полный список изменений Tor Browser 10.0.18
- Все платформы
- Обновление Tor до версии 0.4.5.9
- Android
- Обновление Fenix до 89.1.1
- Обновление NoScript до 11.2.8
- Ошибка 40055: применен rebase патчей для Android-компонентов на 75.0.22 для Fenix 89
- Ошибка 40165: объявление о прекращении поддержки службы onion onion v2 на about:tor
- Ошибка 40166: скрытие вкладки «Обычный» (снова) и вкладки «Синхронизация» в TabTray
- Ошибка 40167: скрытие «Сохранить в коллекцию» в меню.
- Ошибка 40169: применен rebase патчей fenix на fenix v89.1.1
- Ошибка 40170: ошибка при создании tor-browser-89.1.1-10.5-1
- Ошибка 40432: предотвращение проверки установленных приложений.
- Ошибка 40470: применен rebase патчей 10.0 на 89.0
- Система сборки
- Android
- Ошибка 40290: обновление компонентов для Fenix на базе mozilla89.
- Android
Вы можете обновить Tor перейдя в Справка > О браузере Tor. В этом случае будет запущена автоматическая проверка и установка обновлений.
Также скачать новую версию Tor Browser можно на нашем сайте.
Угрозы безопасности
• В Chrome 136 будет устранена многолетняя проблема конфиденциальности
• Уязвимость WinRAR позволяет обходить предупреждения безопасности Mark of the Web в Windows
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows