En svaghed, der ultimativt kunne føre til, at Tor-browseren sladrede om brugernes ip-adresser, har tvunget organisationen bag til først at lave en hotfix og siden en større opdatering, som netop er blevet udgivet.
Opdateringen er den største opdatering til den stadig mere populære Tor-browser i ti år, skriver The Register.
Læs også: Firefox 58: Første store browser, der beder om tilladelse til at tracke canvas-fingeraftryk
Sikkerhedsfirmaet, der opdagede svagheden, døbte den TorMoil og måtte underrette Tor-udviklerne om, at browseren under visse omstændigheder ville lække MacOS- og Linux-brugeres ip-adresser. Det skriver Arstechnica.
Siden svagheden skyldtes en brist i Firefox, som Tor-browseren er baseret på, er den store opdatering frugten af et samarbejde mellem udviklere fra både Tor og Firefox.
Hullet i Tors anonymitetssikkerhed kan udnyttes, såfremt brugere med den ikke-opdaterede version af browseren klikker på et link, der starter med file:// og ikke https:// eller http://. Når det sker, tillader den uddaterede browser selve styresystemet på enheden at etablere en direkte forbindelse til adressen og på den måde gå uden om Tor - og dermed browserens sikkerhed.
Stor opdatering
Som et umiddelbart svar på den nye trussel rullede Tor-udviklerne i første omgang en midlertidig hotfix ud, der i grove træk bestod i at forhindre de brugere med de berørte styresystemer i overhovedet at tilgå den type links.
Nu er en mere permanent opdatering blevet rullet ud, og med i den nye udgave af Tor er blandt andet en mekanisme, der gør det langt sværere for efterretningstjenester og hackere at lure brugernes identitet ved at kontrollere noder i netværket.
Derudover bliver krypteringen oppet, idet den nye version krypteres med SHA3/ed25519/curve25519 frem for SHA1/DH/RSA1024. Udviklerne bag Tor har også lovet flere andre forbedringer, efterhånden som diverse bugs bliver udredt.
Kryptografiprofessor ved Surrey University Alan Woodward er ikke overrasket over, at den delvise anonymitet, Tor tilbyder, igen er kommet under pres.
»Det er en konstant katten efter musen-leg, hvor Tor som mus er nødt til at udvikle sig for at overleve,« siger Alan Woodward til The Register. Han mener, at opdateringen mere er en evolution, end den er en revolution.
Risikerer at skabe nye huller
Men ændringen er stor nok til, at den kan skabe problemer fremadrettet, frygter kryptografiprofessoren.
Den nye udgave af Tor er nu mere kompleks, og det åbner potentielt op for nye faldgruber alene grundet kompleksiteten, vurderer Alan Woodward.
Derudover er diverse mulige problemer med bagudkompatibilitet, der ultimativt kan tvinge brugere af ældre udgave til at opdatere til nyere versioner for at få Tor til at virke, men det er endnu uklart, hvordan den nye version vil virke med ældre udgaver af browseren.
Ingen beviser på misbrug
Ifølge udviklerne fra Tor er der ingen beviser på, at hullet er blevet udnyttet, men som med alle andre svagheder er det ingen garanti for, at efterretningstjenester, private efterforskere og stalkere ikke har misbrugt svagheden, skriver Arstechnica.
Mediet skriver desuden at nu, hvor hotfixet er blevet udgivet, er det nemt for folk med skumle hensigter at gennemskue, hvordan svagheden udnyttes på de enheder, der endnu ikke er blevet opdateret.
Læs også: FBI drev børnepornosite i to uger: »Vores hidtil mest succesfulde indsats mod TOR-brugere«
Derfor bør alle, der potentielt kan være blevet kompromitteret, tage deres forholdsregler mod, at deres ip er blevet lækket. Også selvom risikoen er forholdsvis lille.
