Brave浏览器的Tor模式被曝出存在DNS泄漏问题,导致.onion域名查询发送到公共DNS解析器而非Tor节点,从而可能暴露用户隐私。研究人员已经复现并确认这一漏洞,Brave公司回应已修复并将更新推送给用户。此事件突显了浏览器隐私保护的重要性。
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Brave web 浏览器中的 Tor 模式可允许用户访问 Brave 私密浏览窗口内的 .onion 暗网域名,而无需安装单独的 Tor 软件包。
Brave 浏览器的 Tor 模式出现于2018年6月,可提升用户的隐私,使他们能够访问合法网站如 Facebook、Wikipedia 和大型新闻网站的 .onion 版本。但一名匿名安全研究员本周发布研究报告指出,发现 Brave 的 Tor 模式将 .onion 域名的查询发送到公开的互联网 DNS 解析器中而非 Tor 节点。
虽然这项研究工作最初引发争论,但多名著名的安全研究员复现了这些成果,其中包括 PortSwigger Web Security 的研究总监 James Kettle 和 CERT/CC 团队的漏洞分析师 Will Dormann。此外,另外一名人员也重现并证实了该问题的存在。
这起 DNS 泄漏事件带来的风险重大,因为任何泄漏都会造成 Brave 浏览器用户 Tor 流量在 DNS 服务器日志中的足迹。
Brave 浏览器致力于构建市场上隐私性最强的 Web 浏览器之一,仅次于 Tor Browser。该公司回应称已发布正式修复方案,补丁实际上已在两周前部署到 Brave Nightly 版本,将在下次 Brave 浏览器更新稳定版本中发布。Bug 源自 Brave 内部的广告拦截组件,该组件使用 DNS 查询发现试图绕过广告拦截能力的站点,但忘记检查时执行 .onion 域名。
推荐阅读
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
开源的 DNS 转发软件 Dnsmasq 被曝7个漏洞,可劫持数百万台设备
12年前的 Linux bug 复活,DNS 缓存投毒攻击重现
原文链接
https://www.zdnet.com/article/brave-browser-leaks-onion-addresses-in-dns-traffic/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
