Een forensisch onderzoeker heeft een kwetsbaarheid in Tor Browser gevonden waardoor het mogelijk is om het besturingssysteem van gebruikers te achterhalen, wat kan helpen bij het identificeren van gebruikers. Tor Browser is ontwikkeld om de privacy van gebruikers te beschermen.
De browser past ook verschillende maatregelen toe om 'profiling' tegen te gaan. Onderzoeker Neil Krawetz ontdekte echter een probleem wat dit deels mogelijk maakt. Hij stelt dat er tal van attributen zijn om Tor Browser-gebruikers te identificeren. De afgelopen jaren heeft hij meerdere van deze profileringsmethoden aan het Tor Project geprobeerd te melden, maar kreeg naar eigen zeggen geen enkele reactie.
Onlangs vond hij een kwetsbaarheid in Tor Browser waardoor het besturingssysteem is te achterhalen. Hij meldde ook dit probleem zonder succes, waardoor hij het nu bekend heeft gemaakt. Zo heeft de scrollbalk van Tor Browser op Windows een andere omvang dan die op Linux of Mac. Ook aan de hand van de venstergrootte kan het besturingssysteem worden achterhaald. Zelfs als een gebruiker de dikte van de scrollbalk aanpast, is dit nog steeds een onderscheidend kenmerk, laat Krawetz weten.
"Je moet wel onthouden dat deze kenmerken verschillend, maar niet uniek zijn", merkt de onderzoeker op. Elke Tor Browser-gebruiker op Windows met een beeldscherm van 2048x1024 pixels heeft dezelfde attributen. Ook elke Tor Browser-gebruiker op Linux Mint en een scherm van 1280x900 pixels ziet er hetzelfde uit. "Er zijn echter niet veel mensen die hetzelfde besturingssysteem en dezelfde schermgrootte gebruiken en dezelfde websites rond hetzelfde moment bezoeken. Je zult dan ook waarschijnlijk opvallen", aldus Krawetz.
In dit geval gaat het alleen om het besturingssysteem. De onderzoeker zegt tal van eigenschappen te kunnen identificeren. "Eén eigenschap is verschillend. Twee onafhankelijk eigenschappen doen je meer opvallen. Tegen de tijd dat het er een dozijn zijn, is het mogelijk verschillend genoeg om uniek te zijn", merkt de onderzoeker op. Volgens Krawetz zou het verhelpen van het nu onthulde probleem Tor Browser-gebruikers niet anoniem maken, maar is het een begin. "Hoewel ik niet verwacht dat Tor Browser alles kan anonimiseren, zou het niet eenvoudig moeten zijn om het besturingssysteem van de gebruiker te bepalen", besluit hij.
Deze posting is gelocked. Reageren is niet meer mogelijk.