lunes, 6 de noviembre de 2017

Vulnerabiidad en Tor Browser permite obtener las IPs reales de los usuarios

El investigador italiano Filippo Cavallarin, CEO de "We Are Segment", detecta esta vulnerabilidad en el navegador del proyector Tor, precisamente orientado a procurar la navegación anónima.


Como viene siendo habitual en los últimos tiempos, la vulnerabilidad ya tiene nombre propio: TorMoil, aprovechando el juego de palabras con el termino inglés "turmoil", que tiene acepciones como "confusión" o "desorden". Nada bueno en cualquier caso. 





La vulnerabilidad radica en un fallo de Mozilla Firefox, navegador en el que Tor Browser está basado. Concretamente, se proviene de un bug en el manejo de URLs que utilizan el esquema 'file://', usado comúnmente para identificar ficheros dentro de nuestro propio sistema.

Al acceder a un sitio especialmente diseñado con este tipo de URLs el sistema operativo dejará de usar la conexión a través de la red Tor para conectarse directamente al sitio remoto, provocando la revelación de la IP real del usuario al mismo. 

El fallo afecta a las versiones 7.0.8 y anteriores de Tor Browser en sistemas macOS y Linux. La versión de Windows no está afectada por esta vulnerabilidad. Según los desarrolladores, no hay evidencias que indiquen que este error haya sido explotado hasta el momento.

Tor Project ha lanzado la versión 7.0.9 del navegador que añade una contramedida temporal mientras se soluciona el problema. Como consecuencia, las URLs file:// han dejado de funcionar al introducirlas en la barra de direcciones y pulsar sobre los enlaces resultantes, comportamiento que se mantendrá hasta la salida del parche definitivo.



Francisco López

Más información:

The TorMoil Bug – Tor Browser Critical Security Vulnerability
https://www.wearesegment.com/news/the-tormoil-bug-torbrowser-critical-security-vulnerability/

Tor Browser 7.0.9 is released
https://blog.torproject.org/tor-browser-709-released