安全研究公司 We Are Segment 近日發現一個洋蔥匿名瀏覽器(Tor Browser)的重大漏洞,該漏洞可能會導致使用者的 IP 位置外洩,進而暴露使用者資訊。

Tor,全名 The Onion Router,中文稱之為洋蔥路由器,是一個能將網路上的雙方通訊對彼此完全匿名化的使用服務,最早由美國海軍研究員所發明,其後做為開放原始碼形式釋出,並衍伸出 Tor Browser (洋蔥瀏覽器)服務。

一般的瀏覽器會將使用者 IP 傳輸給網站伺服器,反之亦然,而 Tor 瀏覽器的特點在於,其採用的加密技術就像洋蔥一樣,將使用者資訊與網站資訊層層包裹在別的資訊裡面,從而使得使用者與網站雙方不會取得對方的真實 IP 資料,而 Tor 瀏覽器本身亦有一 些其他的設定,可以達到使用者完全匿名上網的功能。

但是 We Are Segment 最近發現,在 Tor 瀏覽器所採用的 Firefox 模組中,有著一個被稱之為 TorMoil 的漏洞,藉由 Firefox 在處理「file://」開頭網址時的漏洞,只要有心人士設計特殊網址,不知情的使用者經由該網址連線後,Tor 瀏覽器會跳過 Tor 網路保護,改由惡意伺服器進行連線,從而讓使用者與網站雙方的 IP 暴露,進而打破了 Tor 瀏覽器的匿名性。

We Are Segment 發現相關漏洞後,回報給 Tor 瀏覽器專案小組,該小組也緊急完成相關漏洞修補,並釋出相關更新。由於相關更新的時間較晚,為了避免造成進一步的資安問題, We Are Segment 並沒有公布相關手法的完整細節。

目前根據已知情報,會受到影響的主要為 Mac 與 Linux 的 Tor 瀏覽器使用者,為此專案小組已將版本升級為 7.5a7,而使用 Windows 版本的用戶則暫時不受影響,版本號最新維持在 7.5a6。

參考資料來源:
WIKIPEDIA:Tor
We Are Segment:The TorMoil Bug – Tor Browser Critical Security Vulnerability

(本文提供合作夥伴轉載,首圖截圖來源:Tor 官方網站。)

延伸閱讀

網路與匿名性這把「雙面刃」,要怎麼使用才不會傷及無辜?
「吵」到讓駭客無法追蹤!荷蘭大學生發明了一個比匿名還匿名的新網路
重大資安漏洞!英國媒體報導:全球所有 Wifi 都可能被駭了