La falla nel browser Tor potrebbe svelare il vostro indirizzo IP ad attaccanti

La vulnerabilità è stata scoperta dall'esperto italiano Filippo Cavallarin. Con il suo team hanno riportato la falla al gruppo di sviluppo che attualmente cura il Progetto Tor

Un gruppo di esperti italiani ha scoperto una falla critica nel popolare Tor browser, il software che consente la navigazione di milioni di utenti all’interno della Rete Tor, uno delle principali reti di anonimizzazione online.

La falla, denominata TorMoil potrebbe consentire ad un attaccante di de-anonimizzare un utente Tor che utilizza un browser vulnerabile.

Chi ha scoperto la falla e come proteggersi

La vulnerabilità è stata scoperta dall’esperto italiano di sicurezza Filippo Cavallarin, CEO dell’azienda di sicurezza We Are Segment. Cavallarin e il suo team hanno riportato la falla al gruppo di sviluppo che attualmente cura il Progetto Tor, che rapidamente ha sviluppato una patch di sicurezza.

Gli utenti Tor devono aggiornare il loro browser Tor per risolvere la falla TorMoil che come detto potrebbe rivelare ad attaccanti il loro indirizzo IP semplicemente visitando un sito internet con determinati contenuti.

Il progetto Tor ha rilasciato la versione Tor Browser 7.0.9 sia per Linux che MacOS, nessun rischio invece per gli utenti del Tor browser in versione Windows e per coloro che utilizzano il browser integrato nella distribuzione Tails.

Come intervenire

“Questa release presenta un importante aggiornamento per la protezione di Tor Browser per gli utenti MacOS e Linux. A causa di un bug di Firefox nella gestione di file: // URL è possibile su entrambi i sistemi che gli utenti rivelino il loro indirizzo IP durante la navigazione”,  riferisce l’annuncio di sicurezza pubblicato dal Progetto Tor

“Una volta che un utente visita a un URL appositamente creato, il sistema operativo può connettersi direttamente all’host remoto, escludendo il Tor Browser.”.

Il difetto TorMoil risiede nel browser Firefox di MacOS e Linux su cui è basato il Tor browser, la falla può essere sfruttata forzando gli utenti Tor a cliccare su link che inizia con indirizzi file: // anziché i più comuni https: // e http: / indirizzi

“A causa di un bug di Firefox nel trattamento di file: // URL è possibile su entrambi i sistemi che gli utenti rivelino il loro indirizzo IP. Una volta che un utente interessato visita una pagina web appositamente predisposta, il sistema operativo può connettersi direttamente all’host remoto, escludendo il browser di Tor ”  spiegano gli esperti di We Are Segment “Se sei una di quelle persone che fanno affidamento sul Tor Browser per navigare in modo sicuro in Internet, il messaggio è solo uno: tieni aggiornato il tuo Tor Browser !”

Il messaggio è uno solo: tieni aggiornato il tuo browser!

We Are Segment ha segnalato privatamente la falla al team di sviluppo del progetto Tor il 26 ottobre e gli sviluppatori del progetto stesso hanno rilasciato l’aggiornamento di emergenza Tor versione 7.0.8 . La nuova versione implementa una soluzione temporanea per impedire la perdita effettiva del IP.

Gli utenti MacOS e Linux potrebbero riscontrare problemi di navigazione con le versioni del browser Tor che potrebbero non funzionare come previsto durante la navigazione di indirizzi “file: //”. Il disservizio sarà risolto non appena verrà rilasciata una patch stabile e definitiva che dovrebbe essere rilasciata in giornata.

“Attualmente stiamo preparando pacchetti aggiornati per macOS e Linux per le versioni alpha, che saranno probabilmente disponibili lunedì 6 novembre. Intanto gli utenti macOS e Linux di queste versioni sono fortemente incoraggiati a utilizzare i bundle stabili o uno degli strumenti di cui sopra non affetti dal problema” continua il progetto Tor.

“Problemi noti : La correzione che abbiamo distribuito è solo una soluzione temporanea per evitare di rivelare l’indirizzo IP.  Come effetto collaterale i link  “file: //” potrebbero non funzionare come previsto.”

I casi precedenti

I rappresentanti del progetto di Tor hanno confermato di non essere al corrente di attacchi che hanno sfruttato la falla TorMoil per de-anonimizzare utenti della rete Tor, tuttavia aggiungo che non vi è certezza alcuna che un attaccante persistente come una agenzia di intelligence non ne fosse a conoscenza.

È importante sottolineare che la conoscenza di exploit per il browser Tor è una merce preziosa, recentemente il broker di zero-day Zerodium ha offerto un premio di $ 1 milione per un exploit funzionate per il popolare Tor Browser, segno dell’elevato interesse dei suoi clienti in questa tipologia di vulnerabilità.

Io stesso ho raggiunto un rappresentante dell’azienda chiedendogli se avessero mai pensato alla possibilità di rivendere ad un broker la falla, e la risposta ottenuta è lodevole.

“Nel trattare questo tema delicato abbiamo avuto molti pensieri.  Per noi era importante fare la scelta migliore in termine di sicurezza, etica e reputazione. Vendere l’informazione ai broker avrebbe creato danni mostruosi a tutto l’ecosistema.”

Chapeau!