Die Entwickler des anonymen Tor-Netzwerks haben die Ergebnisse einer Prüfung des Tor-Browsers und der vom Projekt entwickelten Tools OONI Probe, rdsys, BridgeDB und Conjure veröffentlicht, die zur Umgehung der Zensur eingesetzt werden. Das Audit wurde von Cure53 von November 2022 bis April 2023 durchgeführt.
Bei der Prüfung wurden 9 Schwachstellen identifiziert, von denen zwei als gefährlich eingestuft wurden, eine als mittlere Gefährlichkeit eingestuft wurde und 6 als Probleme mit geringer Gefährlichkeit eingestuft wurden. Außerdem wurden in der Codebasis 10 Probleme gefunden, die als nicht sicherheitsrelevante Mängel eingestuft wurden. Im Allgemeinen wird festgestellt, dass der Code des Tor-Projekts sicheren Programmierpraktiken entspricht.
Die erste gefährliche Schwachstelle befand sich im Backend des verteilten Systems rdsys, das die Bereitstellung von Ressourcen wie Proxy-Listen und Download-Links an zensierte Benutzer gewährleistet. Die Sicherheitslücke wird durch eine fehlende Authentifizierung beim Zugriff auf den Ressourcenregistrierungs-Handler verursacht und ermöglicht es einem Angreifer, seine eigene bösartige Ressource für die Bereitstellung an Benutzer zu registrieren. Der Vorgang läuft darauf hinaus, eine HTTP-Anfrage an den rdsys-Handler zu senden.
Die zweite gefährliche Schwachstelle wurde im Tor-Browser gefunden und wurde durch eine fehlende Überprüfung der digitalen Signatur beim Abrufen einer Liste von Bridge-Knoten über rdsys und BridgeDB verursacht. Da die Liste vor dem Herstellen einer Verbindung zum anonymen Tor-Netzwerk in den Browser geladen wird, ermöglichte die fehlende Überprüfung der kryptografischen digitalen Signatur einem Angreifer, den Inhalt der Liste zu ersetzen, indem er beispielsweise die Verbindung abfing oder den Server hackte über die die Liste verteilt wird. Im Falle eines erfolgreichen Angriffs könnte der Angreifer dafür sorgen, dass Benutzer eine Verbindung über ihren eigenen kompromittierten Bridge-Knoten herstellen.
Im rdsys-Subsystem im Assembly-Bereitstellungsskript lag eine Sicherheitslücke mittlerer Schwere vor, die es einem Angreifer ermöglichte, seine Berechtigungen vom Benutzer „nobody“ auf den Benutzer „rdsys“ zu erhöhen, wenn er Zugriff auf den Server und die Möglichkeit hatte, vorübergehend in das Verzeichnis zu schreiben Dateien. Um die Sicherheitslücke auszunutzen, muss die ausführbare Datei im Verzeichnis /tmp ersetzt werden. Durch die Erlangung von rdsys-Benutzerrechten kann ein Angreifer Änderungen an ausführbaren Dateien vornehmen, die über rdsys gestartet wurden.
Schwachstellen mit geringem Schweregrad waren in erster Linie auf die Verwendung veralteter Abhängigkeiten zurückzuführen, die bekannte Schwachstellen oder das Potenzial für Denial-of-Service enthielten. Zu den kleineren Schwachstellen im Tor-Browser gehören die Möglichkeit, JavaScript zu umgehen, wenn die Sicherheitsstufe auf die höchste Stufe eingestellt ist, das Fehlen von Einschränkungen beim Herunterladen von Dateien und das potenzielle Durchsickern von Informationen über die Homepage des Benutzers, wodurch Benutzer zwischen Neustarts verfolgt werden können.
Derzeit sind alle Schwachstellen behoben; unter anderem wurde eine Authentifizierung für alle rdsys-Handler implementiert und eine Überprüfung der in den Tor-Browser geladenen Listen per digitaler Signatur hinzugefügt.
Darüber hinaus können wir die Veröffentlichung des Tor-Browsers 13.0.1 vermerken. Die Veröffentlichung ist mit der ESR-Codebasis Firefox 115.4.0 synchronisiert, die 19 Schwachstellen behebt (13 gelten als gefährlich). Die Korrekturen der Sicherheitslücken aus Firefox-Zweig 13.0.1 wurden auf Tor Browser 119 für Android übertragen.
Source: opennet.ru