Zhvilluesit e rrjetit anonim Tor kanë publikuar rezultatet e një auditimi të shfletuesit Tor dhe veglave OONI Probe, rdsys, BridgeDB dhe Conjure të zhvilluara nga projekti, të përdorura për të anashkaluar censurën. Auditimi u krye nga Cure53 nga nëntori 2022 deri në prill 2023.
Gjatë auditimit janë evidentuar 9 dobësi, dy prej të cilave janë klasifikuar si të rrezikshme, një me shkallë të mesme rrezikshmërie dhe 6 janë klasifikuar si probleme me shkallë të vogël rrezikshmërie. Gjithashtu në bazën e kodit u gjetën 10 probleme që u klasifikuan si të meta që nuk lidhen me sigurinë. Në përgjithësi, kodi i Projektit Tor është vërejtur se përputhet me praktikat e sigurta të programimit.
Dobësia e parë e rrezikshme ishte e pranishme në pjesën e pasme të sistemit të shpërndarë rdsys, i cili siguron shpërndarjen e burimeve të tilla si listat proxy dhe lidhjet e shkarkimit për përdoruesit e censuruar. Dobësia shkaktohet nga mungesa e vërtetimit kur hyn në mbajtësin e regjistrimit të burimeve dhe lejoi një sulmues të regjistrojë burimin e tij keqdashës për t'u dorëzuar përdoruesve. Operacioni zbret në dërgimin e një kërkese HTTP te mbajtësi i rdsys.
Dobësia e dytë e rrezikshme u gjet në shfletuesin Tor dhe u shkaktua nga mungesa e verifikimit të nënshkrimit dixhital gjatë marrjes së një liste të nyjeve të urës nëpërmjet rdsys dhe BridgeDB. Meqenëse lista ngarkohet në shfletues në fazën përpara se të lidhet me rrjetin anonim Tor, mungesa e verifikimit të nënshkrimit dixhital kriptografik i lejoi një sulmuesi të zëvendësonte përmbajtjen e listës, për shembull, duke përgjuar lidhjen ose duke hakuar serverin përmes së cilës shpërndahet lista. Në rast të një sulmi të suksesshëm, sulmuesi mund të organizojë që përdoruesit të lidhen përmes nyjes së tyre të urës së komprometuar.
Një cenueshmëri e ashpërsisë mesatare ishte e pranishme në nënsistemin rdsys në skriptin e vendosjes së asamblesë dhe i lejoi një sulmuesi të ngrinte privilegjet e tij nga përdoruesi askush në përdoruesin e rdsys, nëse ai kishte akses në server dhe aftësinë për të shkruar në drejtori me të përkohshme dosjet. Shfrytëzimi i cenueshmërisë përfshin zëvendësimin e skedarit të ekzekutueshëm të vendosur në drejtorinë /tmp. Fitimi i të drejtave të përdoruesit të rdsys lejon një sulmues të bëjë ndryshime në skedarët e ekzekutueshëm të nisur përmes rdsys.
Dobësitë me ashpërsi të ulët ishin kryesisht për shkak të përdorimit të varësive të vjetruara që përmbanin dobësi të njohura ose potencial për mohim të shërbimit. Dobësitë e vogla në Shfletuesin Tor përfshijnë aftësinë për të anashkaluar JavaScript kur niveli i sigurisë është vendosur në nivelin më të lartë, mungesën e kufizimeve në shkarkimet e skedarëve dhe rrjedhjen e mundshme të informacionit përmes faqes kryesore të përdoruesit, duke i lejuar përdoruesit të gjurmohen midis rinisjeve.
Aktualisht, të gjitha dobësitë janë rregulluar; ndër të tjera, është zbatuar vërtetimi për të gjithë mbajtësit e rdsys dhe është shtuar kontrollimi i listave të ngarkuara në Shfletuesin Tor me nënshkrim dixhital.
Për më tepër, mund të vërejmë lëshimin e Shfletuesit Tor 13.0.1. Publikimi është i sinkronizuar me bazën e kodeve të Firefox 115.4.0 ESR, e cila rregullon 19 dobësi (13 konsiderohen të rrezikshme). Rregullimet e dobësive nga dega Firefox 13.0.1 janë transferuar në Tor Browser 119 për Android.
Burimi: opennet.ru