Незашифрованный трафик в сети Tor раскрывает конфиденциальные данные

Незашифрованный трафик в сети Tor раскрывает конфиденциальные данные

Многие разработчики, использующие код Tor в своих приложениях, ошибочно полагают, будто он шифрует HTTP-трафик.  

Исследователи безопасности Адам Погорский (Adam Podgorski) и Милинд Бхаргава (Milind Bhargava) разработали способ, позволяющий профилировать пользователей анонимной сети Tor с помощью сбора и анализа данных с выходных узлов Tor. По словам исследователей, им удалось собрать о конкретных владельцах мобильных устройств такие данные, как GPS-координаты, web-адреса, телефонные номера и нажатия клавиш на клавиатуре.

Как обнаружили Погорский и Бхаргава, анонимайзер и сеть Tor без ведома пользователей передают незашифрованный мобильный трафик. Исследователи определили, что источниками 95% трафика являются Android-устройства, а 5% – iOS-устройства. Трафик исходил из мобильных приложений, установленных производителями электроники, сотовыми операторами и самими пользователями. «Мы считаем, что источником незашифрованного трафика является установленный на этих устройствах код Tor, а пользователи ни о чем и не подозревают», – отметил Бхаргава.

Хотя у Tor Project есть собственное Android-приложение под названием Orbot, функционал Tor в своих приложениях часто используют и сторонние разработчики. Они ошибочно полагают, будто весь трафик Tor по умолчанию либо шифруется, либо передается анонимно. Многие не понимают принцип работы Tor и считают, что с его помощью можно незашифрованный HTTP-трафик сделать зашифрованным.

Исследователи не раскрывают ни названий допускающих утечку приложений, ни их производителей. Однако, по их словам, сюда входит широкий спектр программ, начиная от самых популярных и заканчивая малоизвестными. Около четырех месяцев назад Погорский и Бхаргава сообщили о проблеме всем разработчикам уязвимого ПО, однако до сих пор не получили от них никакого ответа.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!