OnionShare, een tool voor het anoniem uitwisselen van bestanden dielonder andere door klokkenluiders en journalisten wordt gebruikt, heeft twee kwetsbaarheden verholpen waardoor ongeautoriseerde uploads en het achterhalen van chatdeelnemers mogelijk waren.
De tool start een webserver op de computer van de gebruiker en maakt die toegankelijk als een Tor-adres. Dit is een adres op het Tor-netwerk dat anderen via Tor Browser kunnen benaderen en kunnen gebruiken om bestanden van de webserver te downloaden of hier bestanden naar toe te uploaden. Het is niet nodig om op een account in te loggen of van derde partijen gebruik te maken.
In de niet-publieke mode genereerde OnionShare een willekeurige gebruikersnaam en wachtwoord. Alleen gebruikers met de juiste inloggegevens kunnen dan bestanden uploaden. Onderzoekers van IHTeam ontdekten dat het bij de niet-publieke mode mogelijk was om zonder geldige inloggegevens toch bestanden via OnionShare te uploaden.
Naast de optie om bestanden te uploaden en downloaden biedt OnionShare ook een chatroomfunctie. Deelnemers krijgen een willekeurige gebruikersnaam toegekend, maar kunnen die wel veranderen. Voorheen maakte de chatfunctie ook gebruik van een wachtwoord. De onderzoekers ontdekten een tweede kwetsbaarheid waardoor het mogelijk was om zonder inloggegevens de namen van chatdeelnemers te achterhalen.
De beveiligingslekken werden op 21 augustus gemeld, waarna op 17 september een nieuwe versie van OnionShare verscheen waarin de problemen zijn opgelost. Daarnaast maakt de tool inmiddels geen gebruik meer van wachtwoorden maar van private keys.
Deze posting is gelocked. Reageren is niet meer mogelijk.