Gli sviluppatori della rete anonima Tor hanno pubblicato i risultati di un audit del Tor Browser e degli strumenti OONI Probe, rdsys, BridgeDB e Conjure sviluppati dal progetto, utilizzati per aggirare la censura. L’audit è stato condotto da Cure53 da novembre 2022 ad aprile 2023.
Nel corso dell'audit sono state individuate 9 vulnerabilità, di cui due classificate come pericolose, ad una è stato assegnato un livello di pericolo medio e 6 sono state classificate come problemi con un livello di pericolo minore. Sempre nel codice base sono stati riscontrati 10 problemi classificati come difetti non legati alla sicurezza. In generale, il codice del progetto Tor è conforme alle pratiche di programmazione sicura.
La prima pericolosa vulnerabilità era presente nel backend del sistema distribuito rdsys, che garantisce la consegna di risorse come elenchi di proxy e collegamenti per il download agli utenti censurati. La vulnerabilità è causata dalla mancanza di autenticazione durante l'accesso al gestore di registrazione delle risorse e consente a un utente malintenzionato di registrare la propria risorsa dannosa per la consegna agli utenti. L'operazione si riduce all'invio di una richiesta HTTP al gestore rdsys.
La seconda pericolosa vulnerabilità è stata rilevata in Tor Browser ed è stata causata dalla mancata verifica della firma digitale durante il recupero di un elenco di nodi bridge tramite rdsys e BridgeDB. Poiché l'elenco viene caricato nel browser nella fase precedente alla connessione alla rete Tor anonima, la mancata verifica della firma digitale crittografica ha consentito a un utente malintenzionato di sostituire il contenuto dell'elenco, ad esempio intercettando la connessione o hackerando il server attraverso il quale viene distribuita la lista. In caso di attacco riuscito, l'aggressore potrebbe fare in modo che gli utenti si connettano attraverso il proprio nodo bridge compromesso.
Una vulnerabilità di media gravità era presente nel sottosistema rdsys nello script di distribuzione dell'assembly e consentiva a un utente malintenzionato di elevare i propri privilegi dall'utente nessuno all'utente rdsys, se aveva accesso al server e la capacità di scrivere nella directory con temporaneo File. Lo sfruttamento della vulnerabilità comporta la sostituzione del file eseguibile situato nella directory /tmp. L'acquisizione dei diritti utente rdsys consente a un utente malintenzionato di apportare modifiche ai file eseguibili avviati tramite rdsys.
Le vulnerabilità di bassa gravità erano dovute principalmente all'uso di dipendenze obsolete che contenevano vulnerabilità note o il potenziale di negazione del servizio. Piccole vulnerabilità in Tor Browser includono la capacità di bypassare JavaScript quando il livello di sicurezza è impostato al massimo, la mancanza di restrizioni sui download di file e la potenziale perdita di informazioni attraverso la home page dell'utente, consentendo agli utenti di essere monitorati tra un riavvio e l'altro.
Attualmente tutte le vulnerabilità sono state corrette; tra le altre cose, è stata implementata l'autenticazione per tutti i gestori rdsys ed è stato aggiunto il controllo delle liste caricate nel Tor Browser tramite firma digitale.
Inoltre, possiamo notare il rilascio del Tor Browser 13.0.1. Il rilascio è sincronizzato con il codice base di Firefox 115.4.0 ESR, che risolve 19 vulnerabilità (13 sono considerate pericolose). Le correzioni delle vulnerabilità del ramo 13.0.1 di Firefox sono state trasferite a Tor Browser 119 per Android.
Fonte: opennet.ru