Lek geeft surfgedrag TOR-gebruikers bloot

door

tor firefox

door

Nieuws - Een gloednieuw beveiligingsgat in de anonimiseringssoftware TOR verklapt welke websites een gebruiker allemaal bezoekt. Een patch is in de maak, tijdelijke instructies zijn al beschikbaar.

De makers van TOR (The Onion Routing) slaan groot alarm: een net ontdekt gat maakt het surfgedrag van gebruikers zichtbaar voor derden. TOR-gebruikers, zoals dissidenten in dictatoriale landen, lopen gevaar. De eigenlijke fout zit in webbrowser Firefox, die door TOR is verwerkt in de kant-en-klare download van de anonimiseringssoftware.

Domeinnamen verklappen

De kwetsbaarheid is dat een WebSocket-verzoek de proxy-opstelling van de TOR-software voor DNS (domain name system) omzeilt. Wanneer een TOR-gebruiker een verbinding legt met een WebSockets-service stuurt Firefox het domeinnaamverzoek naar de lokale resolver, schrijft Security.nl. Dit betekent dat de communicatie over de omzetting van websites (domeinnamen) naar de eigenlijke ip-adressen niet meer anoniem gebeurt, maar kan worden gemonitord.

De nieuwste versies van de TOR-software (TOR Browser Bundle) dragen dit gat in zich. De ontwikkelaars van de anonimiseringssoftware werken al aan een patch. Daarbij wordt niet alleen het eigenlijke Firefox-probleem gefixt, maar kijken zij ook naar verdergaande maatregelen om herhaling van deze bug te voorkomen door andere componenten of add-ons van derden.

Workaround

Ondertussen hebben de TOR-makers ook instructies online gezet om deze proxy-bypass te voorkomen. In eerste instantie leek het uitschakelen van JavaScript een effectieve workaround, wat is genoemd in de oorspronkelijke bugmelding. De uiteindelijke workaround is het in Firefox uitschakelen van WebSockets, wat door browsermaker Mozilla fout geïmplementeerd zou zijn. Het gat is inmiddels ook ingediend als bug bij Mozilla.

Aanbevolen artikelen

Lees meer over:

firefox, mozilla, Tor, anoniem, anonimisatie

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Consumerization Event: Early Bird Actie
 
dagen
:
 
uren
:
 
minuten
:
 
seconden

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.