Brave invia traffico Tor al server DNS pubblico

Brave invia traffico Tor al server DNS pubblico

Brave ha risolto un bug che inviava le query per gli indirizzi .onion al server DNS pubblico impostato sul computer, invece che ai nodi Tor.
Brave ha risolto un bug che inviava le query per gli indirizzi .onion al server DNS pubblico impostato sul computer, invece che ai nodi Tor.

Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in Brave che mette a rischio la privacy degli utenti che accedono alla rete Tor. Il bug, confermato anche da altri esperti, invia le query per gli indirizzi .onion al server DNS pubblico impostato sul computer o sul router. La software house ha già rilasciato il fix con la versione 1.20.108 del browser.

Brave svela le query Tor

Brave consente di accedere ai domini .onion della rete Tor attraverso la modalità Private Window. Ciò evita l'installazione di software aggiuntivi, sebbene il livello di protezione sia inferiore. In pratica, quando l'utente digita l'indirizzo “https://www.nytimes3xbfgragh.onion/” del New York Times, la suddetta modalità opera come un proxy, inviando la richiesta a tre nodi Tor.

A causa della vulnerabilità, Brave invia gli indirizzi .onion come una query DNS standard al server DNS impostato sul dispositivo, invece che ai nodi Tor. Bleeping Computer ha confermato il problema effettuando l'analisi del traffico DNS con Wireshark. Come si può vedere nel video, quando viene digitato un indirizzo Tor, il browser invia una query al server DNS locale (in questo caso all'indirizzo 8.8.8.8 di Google).

Il bug potrebbe rappresentare un grave pericolo per la privacy degli utenti che risiedono in paesi con regimi oppressivi, in quanto le query finiscono nel log del server DNS pubblico. La causa è stata individuata nella funzionalità dell'ad-blocker integrato che sfrutta le query DNS per identificare i siti che tentano di eludere il blocco dei tracker di terze parti mediante record DNS CNAME.

Un ingegnere del software ha comunicato che il problema era già noto da circa due settimane e risolto nell'ultima versione Nightly. Essendo diventato di pubblico dominio, il fix è stato ora aggiunto alla versione stabile. È quindi consigliata l'installazione di Brave 1.20.108.

Fonte: ZDNet
Link copiato negli appunti

Ti potrebbe interessare

20 02 2021
Link copiato negli appunti