Twórcy anonimowej sieci Tor opublikowali wyniki audytu przeglądarki Tor i opracowanych w ramach projektu narzędzi OONI Probe, rdsys, BridgeDB i Conjure, służących do ominięcia cenzury. Audyt przeprowadziła firma Cure53 w okresie od listopada 2022 r. do kwietnia 2023 r.
Podczas audytu zidentyfikowano 9 podatności, z czego dwie zostały sklasyfikowane jako niebezpieczne, jednej przypisano średni poziom zagrożenia, a 6 sklasyfikowano jako problemy o niewielkim stopniu zagrożenia. Również w bazie kodu znaleziono 10 problemów, które zostały sklasyfikowane jako wady niezwiązane z bezpieczeństwem. Ogólnie rzecz biorąc, kod Projektu Tor jest zgodny z praktykami bezpiecznego programowania.
Pierwsza niebezpieczna luka występowała w backendie rozproszonego systemu rdsys, który zapewnia dostarczanie ocenzurowanym użytkownikom zasobów, takich jak listy proxy i linki do pobierania. Luka wynika z braku uwierzytelnienia podczas uzyskiwania dostępu do procedury obsługi rejestracji zasobów i umożliwia osobie atakującej zarejestrowanie własnego szkodliwego zasobu w celu dostarczenia go użytkownikom. Operacja sprowadza się do wysłania żądania HTTP do obsługi rdsys.
Druga niebezpieczna luka została odkryta w przeglądarce Tor i była spowodowana brakiem weryfikacji podpisu cyfrowego podczas pobierania listy węzłów mostu za pośrednictwem rdsys i BridgeDB. Ponieważ lista ładowana jest do przeglądarki na etapie przed połączeniem się z anonimową siecią Tor, brak weryfikacji kryptograficznego podpisu cyfrowego pozwolił atakującemu na podmianę zawartości listy, np. poprzez przechwycenie połączenia lub zhakowanie serwera za pośrednictwem którego lista jest rozpowszechniana. W przypadku udanego ataku osoba atakująca może zorganizować użytkownikom połączenie za pośrednictwem własnego przejętego węzła mostu.
W podsystemie rdsys w skrypcie wdrażania zestawu występowała luka o średniej wadze, która umożliwiała atakującemu podniesienie jego uprawnień z użytkownika nikt do użytkownika rdsys, jeśli miał dostęp do serwera i możliwość zapisu do katalogu z tymczasowymi akta. Wykorzystanie luki polega na zastąpieniu pliku wykonywalnego znajdującego się w katalogu /tmp. Uzyskanie praw użytkownika rdsys umożliwia atakującemu dokonanie zmian w plikach wykonywalnych uruchamianych za pośrednictwem rdsys.
Luki o niskiej istotności wynikały głównie z użycia nieaktualnych zależności, które zawierały znane luki lub mogły spowodować odmowę usługi. Drobne luki w przeglądarce Tor obejmują możliwość ominięcia JavaScriptu, gdy poziom bezpieczeństwa jest ustawiony na najwyższy poziom, brak ograniczeń w pobieraniu plików i potencjalny wyciek informacji przez stronę główną użytkownika, umożliwiając śledzenie użytkowników pomiędzy ponownymi uruchomieniami.
Obecnie wszystkie luki zostały naprawione, między innymi zaimplementowano uwierzytelnianie dla wszystkich programów obsługi rdsys i dodano sprawdzanie list ładowanych do przeglądarki Tor za pomocą podpisu cyfrowego.
Dodatkowo możemy odnotować wydanie przeglądarki Tor 13.0.1. Wydanie jest zsynchronizowane z bazą kodu Firefoksa 115.4.0 ESR, która naprawia 19 luk (13 uważa się za niebezpieczne). Poprawki luk z gałęzi Firefoksa 13.0.1 zostały przeniesione do przeglądarki Tor 119 dla Androida.
Źródło: opennet.ru