Как Tor Browser прошёл проверку на прочность: результаты аудита безопасности

Разработчики популярного инструмента для анонимного сёрфинга в интернете, Tor Browser, обнародовали результаты обширного аудита безопасности. Аудит охватывал основные проекты: Tor Browser, OONI Probe, rdsys, BridgeDB и Conjure. Эксперты из Cure53 проводили проверку с ноября 2022 года по апрель 2023 года.

В ходе проверки было выявлено 9 уязвимостей. Из них две были критического характера, одна уязвимость считается средней опасности, в то время как оставшиеся 6 классифицированы как малозначимые. Кроме того, было обнаружено 10 технических недоработок, которые не были напрямую связаны с вопросами безопасности. Тем не менее, код Tor был признан соответствующим стандартам безопасного программирования.

Основные уязвимости:

1. Первая опасная уязвимость в rdsys: Уязвимость была обнаружена в бэкенде rdsys, который используется для доставки различных ресурсов пользователям, в том числе списков прокси и ссылок для загрузки. Проблема заключалась в отсутствии аутентификации при обращении к регистрационному обработчику ресурсов. Это давало возможность атакующему зарегистрировать свой вредоносный ресурс и предоставить его пользователям. Эксплуатировать уязвимость можно было, отправив HTTP-запрос к обработчику rdsys.
2. Вторая опасная уязвимость в Tor Browser: Проблема была связана с отсутствием проверки цифровой подписи при загрузке списка мостов через rdsys и BridgeDB. Поскольку этот список загружается до подключения к анонимной сети Tor, возможна подмена содержимого списка атакующим, например, через перехват соединения. Это могло привести к тому, что пользователи подключались бы через компрометированные мостовые узлы, контролируемые злоумышленником.
3. Уязвимость средней степени опасности в rdsys: Уязвимость была обнаружена в подсистеме rdsys в скрипте развёртывания сборок. Она позволяла атакующему повысить свои привилегии с уровня пользователя nobody до пользователя rdsys, при наличии доступа к серверу и возможности записи в каталог с временными файлами. Эксплуатация уязвимости сводится к замене размещаемого в каталоге /tmp исполняемого файла. Получение прав пользователя rdsys позволяет атакующему внести изменения в запускаемые через rdsys исполняемые файлы.
4. Уязвимости низкой степени опасности: Большинство из них были связаны с использованием устаревших библиотек, содержащих известные уязвимости, или с возможностью совершения отказа в обслуживании. В Tor Browser, например, была возможность обойти запрет выполнения JavaScript при выставлении высшего уровня защиты, отсутствие ограничений по загрузке файлов и потенциальная утечка информации через пользовательскую домашнюю страницу, позволяющая отслеживать пользователей между перезапусками..

На текущий момент все уязвимости были исправлены. Кроме того, внедрены дополнительные меры безопасности, включая аутентификацию для всех компонентов rdsys и проверку цифровых подписей при загрузке списков в Tor Browser.

Помимо устранения уязвимостей, вышла новая версия Tor Browser 13.0.1, основанная на Firefox 115.4.0 ESR, в которой исправлено 19 уязвимостей . В версию Tor Browser 13.0.1 для Android перенесены исправления уязвимостей из ветки Firefox 119.