image

Tor Browser lekt informatie over besturingssysteem gebruikers

woensdag 3 mei 2017, 11:53 door Redactie, 12 reacties

Een forensisch onderzoeker heeft een kwetsbaarheid in Tor Browser gevonden waardoor het mogelijk is om het besturingssysteem van gebruikers te achterhalen, wat kan helpen bij het identificeren van gebruikers. Tor Browser is ontwikkeld om de privacy van gebruikers te beschermen.

De browser past ook verschillende maatregelen toe om 'profiling' tegen te gaan. Onderzoeker Neil Krawetz ontdekte echter een probleem wat dit deels mogelijk maakt. Hij stelt dat er tal van attributen zijn om Tor Browser-gebruikers te identificeren. De afgelopen jaren heeft hij meerdere van deze profileringsmethoden aan het Tor Project geprobeerd te melden, maar kreeg naar eigen zeggen geen enkele reactie.

Onlangs vond hij een kwetsbaarheid in Tor Browser waardoor het besturingssysteem is te achterhalen. Hij meldde ook dit probleem zonder succes, waardoor hij het nu bekend heeft gemaakt. Zo heeft de scrollbalk van Tor Browser op Windows een andere omvang dan die op Linux of Mac. Ook aan de hand van de venstergrootte kan het besturingssysteem worden achterhaald. Zelfs als een gebruiker de dikte van de scrollbalk aanpast, is dit nog steeds een onderscheidend kenmerk, laat Krawetz weten.

"Je moet wel onthouden dat deze kenmerken verschillend, maar niet uniek zijn", merkt de onderzoeker op. Elke Tor Browser-gebruiker op Windows met een beeldscherm van 2048x1024 pixels heeft dezelfde attributen. Ook elke Tor Browser-gebruiker op Linux Mint en een scherm van 1280x900 pixels ziet er hetzelfde uit. "Er zijn echter niet veel mensen die hetzelfde besturingssysteem en dezelfde schermgrootte gebruiken en dezelfde websites rond hetzelfde moment bezoeken. Je zult dan ook waarschijnlijk opvallen", aldus Krawetz.

In dit geval gaat het alleen om het besturingssysteem. De onderzoeker zegt tal van eigenschappen te kunnen identificeren. "Eén eigenschap is verschillend. Twee onafhankelijk eigenschappen doen je meer opvallen. Tegen de tijd dat het er een dozijn zijn, is het mogelijk verschillend genoeg om uniek te zijn", merkt de onderzoeker op. Volgens Krawetz zou het verhelpen van het nu onthulde probleem Tor Browser-gebruikers niet anoniem maken, maar is het een begin. "Hoewel ik niet verwacht dat Tor Browser alles kan anonimiseren, zou het niet eenvoudig moeten zijn om het besturingssysteem van de gebruiker te bepalen", besluit hij.

Reacties (12)
03-05-2017, 12:08 door Anoniem
Bekend verhaal
Daarnaast liggen de prioriteiten liggen overduidlijk bij de keuzes die mozilla voorschotelt.
OS X is daar altijd het kind van de rekening, de laatste in de rij.
Simpele doeltreffende oplossing is dit.

Stabiel en veilig
https://tails.boum.org/
03-05-2017, 12:18 door Anoniem
En daarom zetten we javascript uit, problem solved
03-05-2017, 12:18 door Anoniem
Een forensisch onderzoeker? whahaha

Dit is nogal logisch. Gewoon even een plugin installeren en je bent klaar:
https://addons.mozilla.org/en-US/firefox/search/?q=user+agent&status=4
03-05-2017, 14:22 door Anoniem
Dit vereist JavaScript wat een vrijwel oneindige stroom aan manieren om een gebruiker/OS te identificeren oplevert. Ik ben al die sensatienieuwtjes over zogenaamde privacy risico's en zogenaamde exploits meer dan zat.
03-05-2017, 17:11 door Anoniem
Door Anoniem: Een forensisch onderzoeker? whahaha

Dit is nogal logisch. Gewoon even een plugin installeren en je bent klaar:
https://addons.mozilla.org/en-US/firefox/search/?q=user+agent&status=4

Het lijkt er duidelijk op dat jij tot die wereldvreemde categorie als o.a. Flashplayer gebruikers in Torbrowser behoort.
Een hele aparte en hardnekkige categorie die bepaalde zaken maar niet wil begrijpen en ondertussen fora blijft vervuilen met dit soort praktische 'oplossingen'.
Whohoeahhahahahaaarghhhkuchkuchkuch

(wat duurt die mei vakantie weer lang)
03-05-2017, 17:57 door Anoniem
Door Anoniem: Een forensisch onderzoeker? whahaha

Dit is nogal logisch. Gewoon even een plugin installeren en je bent klaar:
https://addons.mozilla.org/en-US/firefox/search/?q=user+agent&status=4
Duidelijk het artikel niet gelezen. TOR browser doet namelijk al aan User Agent spoofing, dus die link die je aanhaalt voegt niets toe aan deze discussie. En aangezien de link je statement onderbouwt, voegt je statement dus ook niets toe.

Het gemelde probleem gaat verder dan de user agent string. Daar is al lang aan gedacht, onderschat de intelligentie van de ontwikkelaars/reearchers niet. Dit gaat om het profileren van de gebruiker om verscheidene aspecten van de browser UI, die voor verschillende OS'es en andere soft/hardware-gerelateerde instellingen samen nagenoeg uniek zijn.

- TOR gebruikt een andere window size dan de meeste browsers, per OS ander gedrag, maar wel 100% voorspelbaar of het om TOR gaat of niet.
- Scrollbar dikte kan gebruik worden om het OS in te zien.

Even een plugin installeren? Nee, zo simpel is het niet.
03-05-2017, 18:44 door Briolet
Door Anoniem: En daarom zetten we javascript uit, problem solved

Hoe wil jij hier anoniem posten zonder JS? Zonder JS posten lukt hier alleen met een account.
03-05-2017, 19:09 door Anoniem
Door Anoniem: Een forensisch onderzoeker? whahaha

Dit is nogal logisch. Gewoon even een plugin installeren en je bent klaar:
https://addons.mozilla.org/en-US/firefox/search/?q=user+agent&status=4

Ja, ach, we kunnen wel grapjes maken maar hij komt er wel mee. Daar gaat het uiteindelijk om, toch? Kennis delen is kennis vermeerderen. Bij zoiets triviaals als dit vraag ik me af of tor project heeft zitten slapen. Dit zijn eigenlijk issues van een decennia geleden.
03-05-2017, 20:16 door Anoniem
Door Briolet:
Door Anoniem: En daarom zetten we javascript uit, problem solved

Hoe wil jij hier anoniem posten zonder JS? Zonder JS posten lukt hier alleen met een account.

Door andere Anoniem: : En daarom is het ook zo handig dat je met Noscript selectief javascripts kan toestaan en blokkeren, waardoor je een beetje meer kan zien wat er wel of niet gebeurt en dat een beetje wel of niet in de gaten kan houden.

NoScript zit standaard in Torbrowser meegeleverd en is eenvoudig te hulpconfigureren onder de Torbutton.
NoScript, onthoudt die naam, krachtiger dan de vissersvrienden.
04-05-2017, 09:13 door Anoniem
Door Anoniem: Ja, ach, we kunnen wel grapjes maken maar hij komt er wel mee. Daar gaat het uiteindelijk om, toch?
Het probleem is dat deze persoon de plank missloeg. Het gaat hier niet om de user agent maar om details van hoe pagina's getoond worden die verschillen per OS en die opgevraagd kunnen worden via JavaScript.
Kennis delen is kennis vermeerderen.
Misverstanden delen is misverstanden vermeerderen. Het is terecht dat mensen dat rechtzetten. Dat dat op een denigrerende toon gebeurde is niet fraai, maar degene die de plank missloeg sloeg daarbij zelf al een denigrerende toon aan; hij kreeg antwoord in zijn eigen (gebrek aan) stijl.
05-05-2017, 15:02 door Eric-Jan H te D
DNA is ook "uniek". Als bewijs blijft het onvoldoende.
05-05-2017, 19:07 door karma4
Door Eric-Jan H te A: DNA is ook "uniek". Als bewijs blijft het onvoldoende.
Klopt want het moet ook nog onomstotelijk aan de misdaad gekoppeld zijn. Leuk als hè op een tijdstip op meerdere plekken kan zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.