Door verschillende kwetsbaarheden aan elkaar te koppelen is het mogelijk om gebruikers van Tor Browser met malware te infecteren, ongeacht welk platform ze gebruiken, zo claimt een beveiligingsonderzoeker genaamd "movrcx". De aanval zou zowel door een staat als de beheerder van een Tor-exitserver zijn uit te voeren, maar is niet eenvoudig, aangezien er een geldig of gespooft certificaat voor addons.mozilla.org is vereist.
Daarnaast moet de aanvaller voldoende Tor-exitservers beheren. Ook dit is volgens de onderzoeker niet ondenkbaar. Het privacynetwerk bestaat uit allerlei servers van vrijwilligers die het verkeer van Tor Browser-gebruikers verwerken. Dit verkeer loopt via meerdere servers om de identiteit van de gebruiker te maskeren. Zo is de eerste server de "entry guard", die het verzoek van de Tor-gebruiker naar de "relay node" doorstuurt. Vervolgens gaat het van deze server naar de "exit-node", die het verzoek naar het internet stuurt.
Tor Browser bestaat uit een aangepaste Firefox-versie, software om verbinding met het Tor-netwerk te maken en verschillende Firefox-extensies voor extra veiligheid. Deze extensies kunnen automatisch worden geüpdatet via addons.mozilla.org. Een aanvaller kan met het eerder verkregen certificaat het updateverkeer van de NoScript-extensie in Tor Browser naar addons.mozilla.org onderscheppen. Vervolgens stuurt de aanvaller een kwaadaardige extensie terug die vervolgens zonder interactie van gebruikers wordt geïnstalleerd.
De kern van het probleem is volgens de onderzoeker dat het Tor Project/Mozilla certificaatpinning voor het updateproces van extensies niet hebben geïmplementeerd. In het geval van certificaatpinning accepteert de browser alleen certificaten die door bepaalde certificaatautoriteiten zijn uitgegeven. Als het certificaat door een certificaatautoriteit is uitgegeven die niet op de whitelist staat geeft de browser een waarschuwing. Google Chrome ondersteunde deze maatregel als eerste en zorgde er zo voor dat de aanval op DigiNotar in de openbaarheid kwam.
Volgens de onderzoeker kan een aanvaller die over voldoende middelen beschikt via de door hem geschetste methode alle Tor Browser-gebruikers infecteren. Naar eigen zeggen is het onderzoek naar de aanvalsmethode nog in volle gang, maar heeft hij besloten nu al in de openbaarheid te treden zodat er snel een oplossing kan worden uitgerold.
Deze posting is gelocked. Reageren is niet meer mogelijk.