Błąd w przeglądarce Brave – twój dostawca internetu mógł widzieć, jakie strony .onion odwiedzasz

20 lutego 2021, 11:20 | W biegu | komentarze 4

Brave to darmowa przeglądarka oparta na silniku Chromium, stawiająca przede wszystkim na bezpieczeństwo i ochronę prywatności użytkowników internetu. Posiada funkcje automatycznego blokowania reklam i skryptów śledzących. Ciekawą rzeczą w Brave jest “Brave Rewards”, dzięki któremu w zamian za oglądanie reklam, możemy otrzymywać kryptowalutę BAT.

Funkcja “Private window with Tor”

Funkcja ta działa na zasadzie trybu “incognito”, z tą różnicą, że używa Tor’a jako “proxy”, dzięki czemu w dość szybki i wygodny sposób możesz przeglądać witryny .onion. Tryb ten powinien zapewniać ci także względną “anonimowość”.

* Zdjęcie podglądowe tego, jak wygląda funkcja “Private window with Tor”

Jeden z użytkowników Brave odkrył jednak fatalny błąd – w trakcie łączenia się z ukrytymi stronami .onion, wysyłane było również standardowe zapytanie DNS do serwera DNS z twojego adresu IP. Oznacza to, że twój dostawca internetu lub DNS mógł wiedzieć, jakie ukryte strony odwiedzasz. Jest to dość istotny błąd, zwłaszcza w przeglądarce, która kojarzona jest przede wszystkim z prywatnością.

I just confirmed that yes, @brave browser's Tor mode appears to leak all the .onion addresses you visit to your DNS providerhttps://t.co/IMV97jWhZf pic.twitter.com/jlcUGFigdR
— James Kettle (@albinowax) February 19, 2021

* Błąd potwierdza także osoba z portswigger

Ekipa odpowiedzialna za Brave zareagowała dość szybko, i już pracuje nad łatką

tl;dr
1. this was already reported on hackerone, was promptly fixed in nightly (so upgrade to nightly if you want the fix now)
2. since it's now public we're uplifting the fix to a stable hotfix

root cause is regression from cname-based adblocking which used a separate DNS query https://t.co/dLjeu4AXtP
— yan (@bcrypt) February 19, 2021

Podsumowanie

Choć postawę Brave w kwestii dbania o prywatność użytkownika można chwalić, to funkcja “Private window with Tor” nie będzie w stanie zapewnić ci poziomu bezpieczeństwa takiego jaki oferuje “zwykły Tor”.

~ Jakub Bielaszewski

Komentarze

rozie

20 lutego, 2021 | 1:46 pm

Jak już przy tym jesteśmy, to w obecnym stable Brave zapytania DNS „ciekną” nie tylko w przypadku korzystania z Tora. A i tu sam błąd nie dotyczył tylko domen .onion – każda domena wpisywana w private window with Tor trafiała do systemowego resolvera.

A czemu nie tylko? Ano dlatego, że po włączeniu DoH w Brave stable, zapytania DNS zapytania trafiają do systemowego resolvera.

Oba błędy poprawione w nigtly.

Odpowiedz
Name

20 lutego, 2021 | 8:45 pm

A czy w wersji mobilnej ta super przegladarka nadal przedstawia sie marka, modelem i wersja androida?

Odpowiedz
wolololo

20 lutego, 2021 | 9:42 pm

Z kwesti semantyki – 'Brave to darmowa przeglądarka oparta na silniku Chromium’, powinno być 'Brave to darmowa przeglądarka oparta na silniku Blink, używanym między innymi w chromium’, ew stwierdzenie że Brave jest forkiem Chromium.

btw
>2k21
>używanie brave nieironicznie

Odpowiedz
jazz

21 lutego, 2021 | 6:32 pm

czyli to jest bubel

Odpowiedz

Zaopatrz się w najnowszą książkę sekuraka!

Błąd w przeglądarce Brave – twój dostawca internetu mógł widzieć, jakie strony .onion odwiedzasz

Spodobał Ci się wpis? Podziel się nim ze znajomymi:

Komentarze

Odpowiedz