Lỗ hổng trong trình duyệt Brave tiết lộ lịch sử duyệt web đen của người dùng

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:0911, 22/02/21, 01:02 PM.

  1. WhiteHat News #ID:0911

    WhiteHat News #ID:0911 WhiteHat Support

    Tham gia: 30/07/14, 10:07 AM
    Bài viết: 620
    Đã được thích: 73
    Điểm thành tích:
    48
    Brave vừa xử lý một sự cố về quyền riêng tư trong trình duyệt của hãng. Lỗ hổng cho phép gửi các truy vấn miền .onion tới các DNS resolver công cộng thay vì định tuyến qua các Tor node, do đó làm lộ lượt truy cập vào các trang web đen của người dùng.
    brave-browser-privacy.jpg
    Lỗi đã được giải quyết trong bản phát hành hotfix (V1.20.108).
    Trước đó, tính năng "Private Window with Tor" tích hợp sẵn trong Brave giúp IP người dùng truy cập các trang web .onion không bị tiết lộ cho các nhà cung cấp dịch vụ internet (ISP), nhà cung cấp mạng Wi-Fi và cả chính các trang web này.
    Các yêu cầu của người dùng khi đó sẽ được chuyển về một URL onion thông qua các Tor node. Tuy nhiên, tính năng này chỉ sử dụng Tor như một proxy và không sử dụng hầu hết các biện pháp bảo vệ quyền riêng tư do Tor Browser cung cấp.
    Theo một báo cáo mới đây, lỗi quyền riêng tư trong chế độ Tor của trình duyệt có thể khiến tất cả các địa chỉ .onion được người dùng truy cập bị lộ.
    "Nhà cung cấp dịch vụ ISP hoặc DNS có thể biết IP của bạn đã thực hiện truy vấn nào tới một trang Tor cụ thể", báo cáo viết.
    Các truy vấn DNS không được mã hóa, vậy nên bất kỳ truy vấn đến các trang .onion trong Brave đều có thể bị theo dõi. Nghĩa là tính năng bảo mật không phát huy tác dụng.
    Vấn đề bắt nguồn từ tính năng chặn quảng cáo CNAME của trình duyệt. Tính năng chặn các tập lệnh theo dõi của bên thứ ba có sử dụng bản ghi CNAME DNS để mạo danh tập lệnh của bên thứ nhất và tránh bị trình chặn nội dung phát hiện. Làm vậy, một trang web có thể giấu các tập lệnh của bên thứ ba bằng cách sử dụng các tên miền phụ của tên miền chính, sau đó chuyển hướng tự động đến một tên miền theo dõi.
    Brave đã nắm được vấn đề và giải quyết trong bản phát hành Nightly 15 ngày trước.
    Người dùng trình duyệt Brave truy cập Menu ở góc trên cùng bên phải, sau đó vào Giới thiệu về Brave để tải bản cập nhật mới nhất và cài đặt.
    Nguồn: The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan