Сигурността на анонимното сърфиране е под въпрос, заради новооткрит бъг
(снимка: CC0 Public Domain)
Проектът Tor уведоми потребителите си вчера за много опасен бъг в едноименния браузър, който позволява изпълнение на JavaScript код при посещение на различни уеб сайтове, въпреки изричната забрана в конфигурацията на браузъра за изпълнение на JavaScript.
Създателите на Tor вече работят по „кръпка” за открития бъг, става ясно от официално изявление. Те обаче не се ангажират със срок за корекция на опасната уязвимост в сигурността.
Възможността да се блокира изпълнението на JavaScript код е изключително важна функция за сигурността на Tor Browser Bundle (TBB) – браузър с подобрени функции за запазване на поверителността и анонимността на потребителите в интернет, който също маскира реални IP адреси (местоположения), за да гарантира анонимността онлайн.
Поради тези специфични функции, браузърът често се използва от журналисти, политически активисти и дисиденти в потиснически страни, като начин да се преодолеят защитните стени, филтри и онлайн цензура.
Честа практика е ползването на атаки чрез експлойти с помощта на JavaScript код за разкриване на реални публични IP адреси на потребителите на Tor Browser, като по този начин те биват „деанонимизирани” и се разкрива точното им географско местоположение.
Екипът на Tor заяви, че е открил грешката в опциите за сигурност на TBB. Тя се проявява, когато браузърът е конфигуриран да използва най-високото ниво на защита (наречено „Safest”), но позволява изпълнението на JavaScript код, дори ако това е изрично блокирано.
