idNSA.id - Proyek Tor telah merilis Tor Browser 10.0.18, versi baru dari browser populer ini mengatasi banyak kekurangan, termasuk kerentanan yang dapat dieksploitasi untuk melacak pengguna dengan melakukan sidik jari pada aplikasi yang diinstal pada perangkat pengguna.
“Versi ini memperbarui Tor ke 0.4.5.9, termasuk perbaikan keamanan penting. Selain itu, di Android, versi ini memperbarui Firefox ke 89.1.1, dan NoScript ke 11.2.8 Versi ini menyertakan pembaruan keamanan penting untuk Firefox untuk Android.” membaca pengumuman yang diterbitkan oleh Proyek Tor.
Teknik pelacakan pengguna dengan sidik jari aplikasi yang diinstal oleh pengguna didokumentasikan oleh ahli FingerprintJS pada bulan Mei. Para peneliti merancang teknik sidik jari baru , bernama flooding scheme, yang dapat memungkinkan mengidentifikasi pengguna saat menjelajahi situs web menggunakan browser desktop yang berbeda, termasuk Tor Browser.
Teknik ini memungkinkan pengguna untuk membuat profil saat mengunjungi situs web dengan browser biasa, seperti Safari, Chrome, dan Firefox, dan mengidentifikasi aktivitas online mereka bahkan ketika mereka berusaha melindungi anonimitas mereka menggunakan browser Tor.
Teknik flooding scheme memanfaatkan skema URL khusus untuk menentukan aplikasi yang diinstal oleh pengguna.
“Kerentanan menggunakan informasi tentang aplikasi yang diinstal di komputer untuk memberi Kamu pengidentifikasi unik permanen bahkan jika kamu berpindah browser, menggunakan mode incognito, atau menggunakan VPN.” membaca posting yang diterbitkan oleh FingerprintJS. “ Kerentanan flooding scheme memungkinkan pelacakan pihak ketiga di berbagai browser dan dengan demikian merupakan pelanggaran privasi.”
Kerentanan flooding scheme dapat dimanfaatkan oleh penyerang untuk menghasilkan pengidentifikasi perangkat lintas-browser 32-bit yang menguji keberadaan daftar 32 aplikasi populer di sistem pengunjung.
Para ahli menunjukkan bahwa analisis daftar aplikasi yang diinstal pada perangkat dapat memungkinkan untuk menemukan kebiasaan kamu dan info lain seperti pekerjaan dan usia.
Para ahli dapat memeriksa apakah aplikasi diinstal menggunakan penangan skema URL kustom bawaan, misalnya, dengan memasukkan skype:// di bilah alamat browser dimungkinkan untuk memeriksa penginstalan Skype.
Untuk memanfaatkan teknik para ahli memberikan prosedur berikut:
1. Siapkan daftar skema URL aplikasi yang ingin kamu uji. Daftar tersebut mungkin bergantung pada tujuan, misalnya, jika kamu ingin memeriksa apakah beberapa aplikasi khusus industry ingin diinstall.
2. Tambahkan skrip di situs web yang akan menguji setiap aplikasi dari daftar. Script akan mengembalikan array nilai boolean yang dipesan. Setiap nilai boolean benar jika aplikasi diinstal atau salah jika tidak.
3. Gunakan array ini untuk menghasilkan pengenal lintas-browser permanen.
4. Secara opsional, gunakan algoritme machine learning untuk menebak pekerjaan, minat, dan usia pengunjung situs web kamu menggunakan data aplikasi yang diinstal.
Bahkan jika sebagian besar browser menerapkan mekanisme keamanan untuk mencegah eksploitasi tersebut, kombinasi CORS policy dan fitur window browser dapat digunakan untuk melewatinya.
Para ahli berhasil menguji teknik pada Chrome 90 (Windows 10, macOS Big Sur), Firefox 88.0.1 (Ubuntu 20.04, Windows 10, macOS Big Sur), Safari 14.1 (macOS Big Sur), Tor Browser 10.0.16 (Ubuntu 20.04 , Windows 10, macOS Big Sur), Brave 1.24.84 (Windows 10, macOS Big Sur), Yandex Browser 21.3.0 (Windows 10, macOS Big Sur), dan Microsoft Edge 90 (Windows 10, macOS Big Sur). Opera tidak diuji.
Dalam kasus browser Tor, masalah seperti ini sangat berbahaya karena dapat dimanfaatkan oleh pelaku ancaman untuk membuka kedok pengguna Tor. Karena kerentanan ini melacak pengguna di seluruh browser, itu dapat memungkinkan situs web, dan bahkan penegak hukum, untuk melacak alamat IP asli pengguna saat mereka beralih ke browser yang tidak menganonimkan, seperti Google Chrome.
Tim pengembangan Tor Browser telah mengatasi kelemahan tersebut dengan menyetel 'network.protocol-handler.external' ke false untuk mencegah browser menjalankan aplikasi eksternal setelah pengendali skema URL kustom bawaan diproses.
Tor Project juga mengingatkan kita bahwa Tor Browser akan berhenti mendukung layanan onion versi 2 akhir tahun ini dan merekomendasikan administrator layanan untuk memigrasikannya dan memperbarui bookmark mereka ke layanan onion versi 3 sesegera mungkin.
Pengguna dapat memeriksa dan menginstal pembaruan baru melalui buka Menu > Help > Choose About Browser Tor.
