" По словам исследователей безопасности, браузер Brave, который делает упор на конфиденциальность и безопасность, уже несколько месяцев теряет данные.
В пятницу, пользователь Reddit разместил на форуме, что режим Tor Brave посылал запросы на .onion доменов DNS резольвер, а не частные узлов Tor. DNS-преобразователь - это сервер, который преобразует доменные имена в IP-адреса. Это означает, что сайты .onion, которые искали люди, с пониманием того, что эти поиски будут частными, не были. Фактически, они могут наблюдаться централизованными поставщиками интернет-услуг (ISP).
Различные модераторы сабреддита, отвечающие за конфиденциальность и безопасность, изначально отказывались принимать публикацию, поскольку хотели более тщательной проверки претензий.
«Это было обнаружено моим партнером по моему стартапу, так как мы работаем над рекламой и услугой VPN для блокировки BS (а также над другими вещами, как показано на сайте)», - сказал пользователь. «Он упомянул об этом, наблюдая за исходящим DNS-трафиком в своей локальной сети».
Выводы были быстро подтверждены исследователями безопасности в Twitter. После этого Brave подтвердили, что знали об этой проблеме, и в пятницу вечером установили исправление безопасности для браузера.
Утечки продолжались в течение нескольких месяцев, прежде чем Brave узнал о них, сказал Шон О'Брайен, главный исследователь лаборатории цифровой безопасности ExpressVPN , который провел дальнейшее исследование уязвимости и поделился ею. Наблюдались не только запросы домена .onion, но и все запросы домена на вкладках Tor, а это означает, что когда веб-сайт загружал контент с YouTube, Google или Facebook, все эти запросы могли быть наблюдаемыми, даже если сам контент не был.
«Обновление блокировки рекламы в браузере Brave представило уязвимость, которая раскрыла пользователям самую частную функцию браузера - окна и вкладки Tor», - сказал О'Брайен. «Пользователи этой функции Tor в Brave ожидали, что веб-сайты, которые они посещают, будут скрыты от их интернет-провайдеров, школ и работодателей, но вместо этого была раскрыта информация о домене (трафик DNS).
Утечки DNS и хронология уязвимости Brave
Утечка DNS создает след в журналах сервера, по которому могут следить правоохранительные органы, хакеры или действительно любой, у кого есть доступ к сети высокого уровня. Tor - это браузер, который обеспечивает анонимное общение, направляя интернет-трафик через большую оверлейную сеть, которая скрывает местоположение пользователя и защищает от сетевого наблюдения или анализа трафика. Защитники конфиденциальности, такие как Эдвард Сноуден и другие, отстаивают Tor как ценный инструмент для защиты от слежки.
Те, кто использует службу режима Tor в браузере Brave, ожидают, что их трафик будет защищен от точно таких же журналов DNS-сервера, которые возникли в результате этой утечки, которые могут выявить, к каким веб-сайтам они обращаются.
«По сути, ваш интернет-провайдер будет знать, посещали ли вы веб-сайты .onion, и если они будут отслеживать журнал всех посещенных вами веб-сайтов, они могут сообщить о вас как о «подозрительном»», - сказал исследователь безопасности под псевдонимом SerHack.
The Tor Project, создатели браузера Tor, отказались комментировать эту статью.
«Brave предупреждает пользователей, что окна и вкладки Tor в его браузере не обеспечивают такой же уровень конфиденциальности, как браузер Tor, который разрабатывается непосредственно Tor Project», - сказал О'Брайен. «Тем не менее, эта утечка DNS была должным образом описана как« вопиющая» в CSO Brave».
О'Брайен изучил каждую сборку браузера Brave, начиная с его запуска в конце 2019 года. При этом он обнаружил, что утечка DNS впервые проявилась в патче для «Support CNAME adblocking # 11712», который был введен в исходный код браузера 14 октября 2020 года.
Браузер Brave имеет две версии, nightly build, который предназначен для разработчиков и стабильной сборки, которая для обычных пользователей. Изменения, внесенные в nightly build, тестируются, а затем в конечном итоге включаются в стабильную сборку.
Brave выпустила обновление, содержащее уязвимость утечки DNS, для стабильной сборки браузера 20 ноября 2020 года.
Об уязвимости не сообщалось до 12 января 2021 года, согласно Github через HackerOne. Brave выпустил исправление в ночной сборке 4 февраля, но пока пользователь не опубликовал проблему на Reddit и не подтвердили ее другими исследователями, Brave не выпустил исправление для стабильной сборки.
Brave выпустил исправление стабильной сборки в пятницу вечером, в тот же день отчеты о проблеме были опубликованы. Аналитики подтвердил, что стабильная сборка Brave больше не передает информацию на DNS-серверы.
Это означает, что в течение нескольких месяцев пользователи, которые использовали режим Tor, понимая, что их трафик является частным, фактически регистрировали его на DNS-серверах, оставляя за собой след своей онлайн-активности. Стабильная сборка была исправлена через две недели после ночной сборки.
В целом Nightly Build Brave просачивалась 113 дней, а стабильная - 91 день.
«Все это - такой страшный инцидент для людей, которые хотят защитить свою конфиденциальность», - сказал SerHack. «Похоже, Brave не обратила внимания на все детали, и этот эпизод должен предупредить нас, что одна ошибка может свести на нет все усилия по обеспечению конфиденциальности».
Ответ Brave
В ответ на вопросы о том, как долго это было проблемой, каковы были последствия для пользователей и как Brave может гарантировать, что подобное не произойдет в будущем, Сидни Хаффан, представитель Brave, сделал следующее заявление:
«В середине января 2021 года нам стало известно об ошибке, которая позволит сетевому злоумышленнику увидеть DNS-запросы, которые были сделаны в частном окне в Brave с подключением Tor. Основной причиной была новая функция блокировки рекламы под названием CNAME adblocking, которая инициировала DNS-запросы, которые не проходили через Tor, чтобы проверить, следует ли блокировать домен.
«Об этой ошибке сообщил Xiaoyinl на HackerOne. Мы немедленно ответили на отчет и включили исправление этой уязвимости в ночное обновление от 4 февраля 2021 года. Как и в случае с обычным процессом исправления ошибок, мы тестируем изменения каждую ночь, чтобы убедиться, что они не вызывают регрессии или других ошибок, перед выпуском в стабильный канал».
Хаффман добавил, что с учетом серьезности проблемы и того факта, что она стала общедоступной (что упростило ее использование), они ускорили сроки решения этой проблемы и выпустили ее в пятницу. Он также отметил, что использование частного окна с подключением Tor через Brave - не то же самое, что использование браузера Tor.
«Если ваша личная безопасность зависит от сохранения анонимности, мы настоятельно рекомендуем использовать Tor Browser вместо окон Brave Tor», - сказал он.
Хотя признание и быстрое устранение проблемы было положительным конечным результатом, подобные случаи служат напоминанием о множестве способов нарушения конфиденциальности в Интернете, даже когда пользователи думают, что они принимают меры для обеспечения безопасности.
По словам О'Брайена, высокий уровень анонимности, который может обеспечить Tor, был нарушен, и эта уязвимость могла позволить сетевым посредникам или злоумышленникам отслеживать пользователей и отслеживать, какие веб-сайты они посещают.
«Хорошая новость заключается в том, что контент, передаваемый по сети, например разговоры или файлы, похоже, защищен Tor», - сказал он. «Однако пользователи в опасных ситуациях могли подвергнуться риску, особенно если бы они действовали с меньшей осторожностью, поскольку ожидали анонимности».
