Le navigateur Tor open source a été mis à jour vers la version 10.0.18 avec des correctifs pour plusieurs problèmes, y compris un bogue portant atteinte à la vie privée qui pourrait être utilisé pour identifier de manière unique les utilisateurs sur différents navigateurs en fonction des applications installées sur un ordinateur.
En plus de mise à jour Tor vers 0.4.5.9, la version Android du navigateur a été mise à niveau vers Firefox vers la version 89.1.1, en plus de l’intégration des correctifs déployés par Mozilla depuis plusieurs vulnérabilités de sécurité abordé dans Firefox 89.
Le principal parmi les problèmes corrigés est une nouvelle attaque d’empreintes digitales qui a été révélée le mois dernier. Doublé inondation de régime, la vulnérabilité permet à un site Web malveillant d’exploiter les informations sur les applications installées sur le système pour attribuer aux utilisateurs un identifiant unique permanent même lorsqu’ils changent de navigateur, utilisent le mode navigation privée ou un VPN.
En d’autres termes, le faiblesse tire parti des schémas d’URL personnalisés dans les applications en tant que vecteur d’attaque, permettant à un acteur malveillant de suivre l’utilisateur d’un appareil entre différents navigateurs, notamment Chrome, Firefox, Microsoft Edge, Safari et même Tor, en contournant efficacement les protections contre l’anonymat entre les navigateurs sur Windows, Linux et macOS.
« Un site Web exploitant la vulnérabilité d’inondation du schéma pourrait créer un identifiant stable et unique pouvant relier ces identités de navigation », a déclaré Konstantin Darutkin, chercheur de FingerprintJS.
Actuellement, l’attaque vérifie une liste de 24 applications installées comprenant Adobe, Battle.net, Discord, Epic Games, ExpressVPN, Facebook Messenger, Figma, Hotspot Shield, iTunes, Microsoft Word, NordVPN, Notion, Postman, Sketch, Skype, Slack, Spotify, Steam, TeamViewer, Telegram, Visual Studio Code, WhatsApp, Xcode et Zoom.
Le problème a de sérieuses implications pour la confidentialité car il pourrait être exploité par des adversaires pour démasquer les utilisateurs de Tor en corrélant leurs activités de navigation lorsqu’ils passent à un navigateur non anonymisant, tel que Google Chrome. À contrer l’attaque, Tor définit désormais « network.protocol-handler.external » sur false afin d’empêcher le navigateur de sonder les applications installées.
Sur les trois autres navigateurs, tandis que Google Chrome propose protections intégrées contre l’inondation du schéma – il empêche le lancement de toute application à moins qu’il ne soit déclenché par un geste de l’utilisateur, comme un clic de souris – le navigateur Visionneuse PDF a été trouvé pour contourner cette atténuation.
« Jusqu’à ce que cette vulnérabilité soit corrigée, le seul moyen d’avoir des sessions de navigation privées non associées à votre appareil principal est d’utiliser un autre appareil », a déclaré Darutkin. Il est recommandé aux utilisateurs du navigateur Tor d’agir rapidement pour appliquer la mise à jour afin de s’assurer qu’ils sont protégés.
Le développement arrive un peu plus d’une semaine après le service de messagerie crypté Wire adressé deux vulnérabilités critiques dans son application iOS et Web qui pourraient conduire à un déni de service (CVE-2021-32666) et permettre à un attaquant de prendre le contrôle d’un compte utilisateur (CVE-2021-32683).
