Bijna alle mobiele Tor-browsers blijken het IP-adres van gebruikers te lekken bij het opvragen van ingebedde video's op websites. Het probleem wordt veroorzaakt doordat zowel Android als iOS het ingebedde videomateriaal via een apart proces opvragen, namelijk de standaard videospeler.
Daardoor wordt de Tor-proxy omzeild, wat het mogelijk maakt om het echte IP-adres van de gebruiker te bepalen. Het probleem speelt bij de Orweb: Private Web Browser en de Anonymous Browser Connect TOR voor Android-toestellen en de Onion Browser voor iOS. Dat meldt de Duitse beveiligingsonderzoeker Dominik Bok.
Een tweede probleem doet zich voor bij het verwerken van links naar videomateriaal, waarbij er wederom verkeer buiten het Tor-anonimiseringsnetwerk langsgaat. Blok merkt op dat er wel oplossingen zijn om een aantal van de browsers zo in te stellen dat actieve elementen op websites worden geblokkeerd, maar dit is standaard niet het geval. Daarnaast weten gebruikers niet dat hun IP-adres door het gebruik van de Tor-browsers kan lekken.
"Het beste advies als je goede beveiliging belangrijk vindt is dan ook om geen mobiel platform te gebruiken", aldus Blok. Een andere oplossing is het gebruik van de proxy-mobile uitbreiding van Firefox for Android van het Guardian Project, maar die biedt minder bescherming dan de officiële Tor Browser bundle voor de desktop, merkt Blok op. Ter demonstratie ontwikkelde hij deze pagina, waar gebruikers hun Tor-browser kunnen testen.
Deze posting is gelocked. Reageren is niet meer mogelijk.