Conocido como inundación de esquemas, permite rastrear al usuario de un dispositivo entre diferentes navegadores
El navegador Tor de código abierto se ha actualizado a la versión 10.0.18 con correcciones para varios problemas, incluido un error que elude la privacidad que podría usarse para usar huellas dactilares de usuarios en diferentes navegadores según las aplicaciones instaladas en una computadora.
Además de actualizar Tor a 0.4.5.9, la versión de Android del navegador se ha actualizado a Firefox a la versión 89.1.1, además de incorporar parches implementados por Mozilla para varias vulnerabilidades de seguridad abordadas en Firefox 89.
El principal de los problemas corregidos es un nuevo ataque de huellas dactilares que salió a la luz el mes pasado. Conocida como inundación de esquemas, la vulnerabilidad permite que un sitio web malicioso aproveche la información sobre las aplicaciones instaladas en el sistema para asignar a los usuarios un identificador único permanente incluso cuando cambian de navegador, usan el modo de incógnito o una VPN.
Dicho de otra manera, la debilidad se aprovecha de los esquemas de URL personalizados en las aplicaciones como un vector de ataque, lo que permite a un mal actor rastrear al usuario de un dispositivo entre diferentes navegadores, incluidos Chrome, Firefox, Microsoft Edge, Safari e incluso Tor, eludiendo eficazmente las protecciones de anonimato entre navegadores en Windows, Linux y macOS.
"Un sitio web que explote la vulnerabilidad de inundación del esquema podría crear un identificador único y estable que pueda vincular esas identidades de navegación", dijo Konstantin Darutkin, investigador de FingerprintJS.
Actualmente, el ataque comprueba una lista de 24 aplicaciones instaladas que consta de Adobe, Battle.net, Discord, Epic Games, ExpressVPN, Facebook Messenger, Figma, Hotspot Shield, iTunes, Microsoft Word, NordVPN, Notion, Postman, Sketch, Skype, Slack, Spotify, Steam, TeamViewer, Telegram, Visual Studio Code, WhatsApp, Xcode, y Zoom.
El problema tiene serias implicaciones para la privacidad, ya que los adversarios podrían aprovecharlo para desenmascarar a los usuarios de Tor al correlacionar sus actividades de navegación cuando cambian a un navegador no anonimizado, como Google Chrome. Para contrarrestar el ataque, Tor ahora establece en falso "network.protocol-handler.external" para evitar que el navegador analice las aplicaciones instaladas.
De los otros tres navegadores, si bien Google Chrome presenta protecciones integradas contra la inundación de esquemas (evita el inicio de cualquier aplicación a menos que sea activada por un gesto del usuario, como un clic del mouse), se encontró que el Visor de PDF del navegador elude esta mitigación.
"Hasta que se solucione esta vulnerabilidad, la única forma de tener sesiones de navegación privada no asociadas con su dispositivo principal es usar otro dispositivo por completo", dijo Darutkin. Se recomienda a los usuarios del navegador Tor que se muevan rápidamente para aplicar la actualización y asegurarse de que estén protegidos.
El desarrollo llega poco más de una semana después de que el servicio de mensajería cifrada Wire solucionó dos vulnerabilidades críticas en su aplicación web y de iOS que podrían conducir a una denegación de servicio (CVE-2021-32666) y permitir que un atacante tome el control de una cuenta de usuario (CVE-2021-32683).
