功能没有足够匿名化私人浏览会话
以替代隐私为重点的浏览器Brave的开发人员因快速解决潜在的麻烦隐私缺陷而受到称赞。
安全研究人员病态的编码发现具有TOR的勇敢的私人窗口(隐身)功能无法充分匿名访问Brave的合作伙伴网站,例如Binance和Coinbase。beplay体育能用吗
在进一步挖掘时,同一位研究人员发现,勇敢者在TOR会话期间生成了一个文件夹,在私人浏览会议结束时未能删除它。
“在用户结束Tor会话后,未清除数据,用户应意识到,勇敢浏览器的Tor功能不按预期的方式安全,并且浏览器可以泄漏或将使用统计信息发送给其合作伙伴网站的关键信息beplay体育能用吗攻击者可以用来将用户进行三角测量。”安全研究人员在电子邮件中警告说。
勇敢的开发人员Yan Zhu通过开发修复程序迅速响应警告,该修复程序已被整合到主流版本(夜间)版本中浏览器。
勇敢的1.18.27及以下受到影响。
主流版本尚未修补以解决安全漏洞。
剥回洋葱
病假后发现了这些问题。编码检查了一个称为“本地状态”的瞬态会话信息文件。
“ [Zhu} @BCrypt确认我在当地状态发现的公制Core_p3A_Metrics已被关闭。”每日swbeplay2018官网ig。
该问题产生了违反用户TOR会话机密性的潜力,但仅由于本地攻击者而言,由于该漏洞无法实现远程利用。
安全研究人员为他的发现赚了100美元,可以在写上去。
生病(病态的编码)才在他面对一个令人讨厌的弹出窗口广告后才开始研究这个问题。
“ Tor已经勇敢两年了,这让我想知道为什么没有人找到所有TOR(以前)。”每日swbeplay2018官网ig。“尽管勇敢的安全团队确实反应迅速。”
一个邮政在Hackerone上提供其他信息和上下文。
勇敢浏览器中的漏洞使攻击者可以在隐身模式下查看TOR会话的最后一次。
本地的盘中攻击者可以阅读勇敢的浏览器的“本地状态” JSON文件,并确定上次使用TOR会话时,影响了用户Tor会话的机密性。
例如,最近使用TOR会话的用户的“本地状态”文件将列出一个键值对,其时间戳为“ 13248493693576042”。
这样一来,攻击者就可以在非常具体的时刻使用TOR来指纹或毫无疑问地证明。
Brave是使用Chromium构建的开源浏览器。它拥有2000万个每月活跃用户。