Grave allarme di sicurezza per Tor Browser, pacchetto software pensato per facilitare l’accesso all’omonima darknet a cipolla che in questi mesi ha prestato il fianco a un bug potenzialmente molto pericoloso. A svelare l’esistenza del problema è stata Zerodium, società americana che ha trasformato la compravendita delle falle di sicurezza e relativi exploit (funzionanti) in un business a tanti zeri.
Stando alle informazioni rilasciate da Zerodium, le versioni 7.x di Tor Browser sono affette da una seria vulnerabilità in grado di bypassare tutte le protezioni contro gli script, inclusi il più alto livello di sicurezza del circuito Tor selezionato dall’utente – in teoria capace di disabilitare completamente JavaScript – e la popolare estensione di Firefox per il blocco degli script NoScript.
Advisory: Tor Browser 7.x has a serious vuln/bugdoor leading to full bypass of Tor / NoScript ‘Safest’ security level (supposed to block all JS).
PoC: Set the Content-Type of your html/js page to “text/html;/json” and enjoy full JS pwnage. Newly released Tor 8.x is Not affected.— Zerodium (@Zerodium) 10 settembre 2018
Il bug è facilmente sfruttabile e permette di eseguire listati JavaScript potenzialmente malevoli in un ambiente – quello del Tor Browser con i meccanismi di sicurezza impostati al massimo – che dovrebbe in teoria inibire proprio questo genere di scenario di attacco. La falla è stata in ogni caso rattoppata con la distribuzione di Tor Browser 8.0, nuova release del tool di navigazione che ha adottato l’ultima versione di Firefox a supporto esteso (Firefox 60 ESR) basata su Quantum e quindi non più compatibile con le estensioni classiche.
Il management di Zerodium ha confermato di aver acquisito la falla zero-day nel Tor Browser “mesi fa”, e di averla condivisa con i suoi clienti che tra gli altri comprendono diverse “organizzazioni governative”. Non è insomma improbabile che NSA, FBI o anche forze dell’ordine italiane fossero a conoscenza del bug e lo avessero già “armato” per identificare gli utenti di Tor, una prospettiva che evidenzia ancora una volta come la sicurezza assoluta, su Internet e persino nella presunta inviolabilità della darknet, sia poco più di un mito.