Allvarlig sårbarhet i Tor Browser läckte användarnas IP-adresser

Tor Project Logo

Säkerhetshål i Tor Browser gjorde att användarnas riktiga IP-adresser visades. Webbläsaren som gör att du kan surfa anonymt har redan fått en uppdatering som löser problemet — men det väckte mångas ögon.

Sårbarheten hittades i Tor Browser för macOS och Linux. Det betyder att alla med Windows-versionen klarade sig undan denna gång. Dock inte utan att många lär börja fundera på hur säkert det är med anonym surf via Tor i framtiden.

Nyheten om sårbarheten uppmärksammades av Threat Post som i en artikel rekommenderade alla med Tor Browser kollade versionen på sin installation. Om det är 7.0.8 eller äldre är det skarpt rekommenderat att uppdatera till 7.0.9 eller nyare.

“Due to a Firefox bug in handling ‘file://’ URLs, it is possible on both systems that users leak their IP address. Once an affected user navigates to a specially crafted URL the operating system may directly connect to the remote host, bypassing Tor Browser,” according to a post by Tor Project on Friday.

Den som var först med att hitta buggen är dock inte Threat Post, utan Filippo Cavallarin, VD på We Are Segment. Han noterade sårbarheten och kontaktade omedelbart Tor Project den 26 oktober. Teamet som tog emot buggrapporten skapade snabbt en lösning med hjälp av Mozilla (Firefox är grunden i Tor Browser).

Problemet nu är att version 7.0.9 bara är en väg runt problemet och inte en definitiv lösning. Utvecklarna behöver mer tid för att skapa en ny version som stänger sårbarheten permanent.

Tidigare i juli presenterade Tor Project ett program för buggjakt som uppmanar användarna att hitta och rapportera sårbarheter. Hitta en tillräckligt allvarlig sårbarhet och du kan få 4 000 dollar för besväret. Knappast i liga med vad exempelvis Microsoft och Google betalar, men det är en bra lön hur som helst.

Problemet? Det går att få betydligt bättre betalat på svarta marknaden och säkerhetsforskare kan känna sig lockade att tjäna tio gånger mer, eller ännu bättre, genom att sälja till kriminella eller myndigheter istället.

“There are very few pieces of technology that we depend upon where security vulnerabilities in them actually have real potential for human lives and livelihoods to be destroyed”, säger Alex Rice som grundade HackerOne-initiativet för buggjakt.

Använder du Tor Browser och kan vara drabbad av sårbarheten som läckte IP-adresser? Skriv en rad och berätta om hur du känner kring problemet. Är det här något som är ett stort problem för dig, eller på verkar det inte nämvärt?

 

Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.