El navegador Tor de código abierto se actualizó a la versión 10.0.18 con correcciones para múltiples problemas, incluido un error que anula la privacidad que podría usarse para tomar huellas dactilares de los usuarios en diferentes navegadores según las aplicaciones instaladas en una computadora.
Además de actualizar Tor a 0.4.5.9, la versión de Android del navegador se actualizó a Firefox a la versión 89.1.1, además de incorporar parches implementados por Mozilla para varias vulnerabilidades de seguridad abordadas en Firefox 89.
El principal de los problemas corregidos es un nuevo ataque de huellas dactilares que salió a la luz el mes pasado. Denominada inundación de esquema, la vulnerabilidad permite que un sitio web malicioso aproveche la información sobre las aplicaciones instaladas en el sistema para asignar a los usuarios un identificador único permanente, incluso cuando cambian de navegador, usan el modo de incógnito o una VPN.
Dicho de otra manera, la debilidad aprovecha los esquemas de URL personalizados en las aplicaciones como un vector de ataque, lo que permite que un mal actor rastree al usuario de un dispositivo entre diferentes navegadores, incluidos Chrome, Firefox, Microsoft Edge, Safari e incluso Tor, eludiendo de manera efectiva el cruce de navegador. protecciones de anonimato en Windows, Linux y macOS.
«Un sitio web que explote la vulnerabilidad de inundación del esquema podría crear un identificador estable y único que pueda vincular esas identidades de navegación», dijo el investigador de FingerprintJS, Konstantin Darutkin.
Actualmente, el ataque verifica una lista de 24 aplicaciones instaladas que consiste en Adobe, Battle.net, Discord, Epic Games, ExpressVPN, Facebook Messenger, Figma, Hotspot Shield, iTunes, Microsoft Word, NordVPN, Notion, Postman, Sketch, Skype, Slack, Spotify, Steam, TeamViewer, Telegram, Visual Studio Code, WhatsApp, Xcode y Zoom.
El problema tiene serias implicaciones para la privacidad, ya que los adversarios podrían explotarlo para desenmascarar a los usuarios de Tor al correlacionar sus actividades de navegación cuando cambian a un navegador no anónimo, como Google Chrome. Para contrarrestar el ataque, Tor ahora establece «network.protocol-handler.external» en falso para bloquear el navegador y evitar que pruebe las aplicaciones instaladas.
De los otros tres navegadores, mientras que Google Chrome cuenta con salvaguardas integradas contra la inundación de esquemas (evita el lanzamiento de cualquier aplicación a menos que sea activada por un gesto del usuario, como un clic del mouse), se descubrió que el visor de PDF del navegador omite esta mitigación.
«Hasta que se solucione esta vulnerabilidad, la única forma de tener sesiones de navegación privadas no asociadas con su dispositivo principal es usar otro dispositivo por completo», dijo Darutkin. Se recomienda a los usuarios del navegador Tor que se muevan rápidamente para aplicar la actualización y asegurarse de que estén protegidos.
El desarrollo llega poco más de una semana después del servicio de mensajería encriptada Wire dirigido dos vulnerabilidades críticas en su aplicación iOS y web que podrían provocar una denegación de servicio (CVE-2021-32666) y permitir que un atacante tome el control de una cuenta de usuario (CVE-2021-32683).
