Brave Browser Telah Mengekspos Data User Selama Berbulan-bulan Dalam Mode Tor

Brave Browser, yang menekankan privasi dan keamanan, telah membocorkan data selama berbulan-bulan, menurut peneliti keamanan. 

Pada hari Jumat, pengguna Reddit ” py4YQFdYkKhBK690mZql ” memposting di forum bahwa mode Tor Brave, diperkenalkan pada tahun 2018, mengirimkan permintaan untuk domain .onion ke resolver DNS, bukan node Tor pribadi. Penyelesai DNS adalah server yang mengubah nama domain menjadi alamat IP. Artinya, situs .onion yang ditelusuri orang, dengan pemahaman bahwa penelusuran tersebut bersifat pribadi, sebenarnya tidak. Faktanya, mereka bisa diamati oleh penyedia layanan internet (ISP-internet service providers) terpusat. 

“Ini ditemukan oleh mitra saya pada saat startup saya , saat kami sedang mengerjakan iklan dan layanan VPN pemblokiran ‘BS’ (serta hal-hal lain, seperti yang ditunjukkan di situs),” kata py4YQFdYkKhBK690mZql dalam pesan langsung. “Dia menyebutkan untuk mencatatnya saat mengamati lalu lintas DNS keluar di jaringan lokalnya.”

Temuan itu dengan cepat dikonfirmasi oleh peneliti keamanan di Twitter . Setelah ini, Brave mengonfirmasi bahwa mereka mengetahui masalah tersebut, dan mendorong patch keamanan ke browser Jumat malam. 

Kebocoran tersebut telah berlangsung selama berbulan-bulan sebelum Brave menyadarinya, kata Sean O’Brien, peneliti utama di Lab Keamanan Digital ExpressVPN , yang melakukan penelitian lebih lanjut tentang kerentanan.

Tidak hanya permintaan domain .onion yang dapat diamati tetapi juga semua permintaan domain di tab Tor, yang berarti bahwa ketika situs web memuat konten dari YouTube, Google atau Facebook, semua permintaan itu dapat diamati, meskipun konten itu sendiri tidak. 

“Pembaruan untuk pemblokiran iklan di browser Brave memperkenalkan kerentanan yang mengekspos fitur paling pribadi browser kepada pengguna – jendela dan tab Tor,” kata O’Brien. “Pengguna fitur Tor di Brave ini berharap situs web yang mereka kunjungi disembunyikan dari ISP, sekolah, dan perusahaan mereka, tetapi informasi domain (lalu lintas DNS) itu malah terungkap.

Kebocoran DNS membuat jejak di log server yang dapat diikuti oleh penegak hukum, peretas, atau siapa pun yang memiliki akses jaringan tingkat tinggi. Tor adalah browser yang memungkinkan komunikasi anonim dengan mengarahkan lalu lintas internet melalui jaringan overlay besar, yang menyembunyikan lokasi pengguna dan melindungi dari pengawasan jaringan atau analisis lalu lintas. Pendukung privasi seperti Edward Snowden dan lainnya telah menganjurkan Tor sebagai alat yang berharga untuk melindungi dari pengawasan. 

Mereka yang menggunakan layanan mode Tor di browser Brave mengharapkan lalu lintas mereka dilindungi dari jenis log server DNS yang terjadi sebagai akibat dari kebocoran ini, yang dapat mengungkapkan situs web apa yang mereka akses. 

“Pada dasarnya, ISP Anda akan tahu jika Anda telah mengunjungi situs web .onion dan jika mereka melacak log dari semua situs web yang Anda kunjungi, mereka mungkin melaporkan Anda sebagai hal ‘mencurigakan,'” kata peneliti keamanan nama samaran SerHack dalam pesan langsung.

The Tor Project, pembuat browser Tor, menolak berkomentar untuk bagian ini. 

“Brave memperingatkan pengguna bahwa jendela dan tab Tor di browsernya tidak memberikan tingkat privasi yang sama seperti Tor Browser, yang dikembangkan langsung oleh Tor Project,” kata O’Brien. “Namun, kebocoran DNS ini dengan tepat digambarkan sebagai ‘mengerikan’ oleh CSO Brave.”

O’Brien memeriksa setiap build browser Brave sejak peluncurannya pada akhir 2019. 

Saat melakukannya, dia menemukan bahwa kebocoran DNS pertama kali muncul di tambalan untuk “Dukungan CNAME adblocking # 11712,” yang diperkenalkan ke kode sumber browser pada 14 Oktober 2020. Itu disertakan dalam browser Brave nightly build yang hari yang sama. 

Brave browser memiliki dua versi, membangun malam yang untuk pengembang dan membangun stabil yang untuk pengguna biasa. Perubahan yang dibuat pada build nightly diuji dan kemudian dimasukkan ke dalam build stable.

Brave merilis pembaruan yang berisi kerentanan kebocoran DNS ke versi stabil browser pada 20 November 2020.

Kerentanan tersebut tidak dilaporkan hingga 12 Januari 2021, menurut Github , melalui HackerOne. Brave merilis perbaikan untuk itu di build malam pada 4 Februari, tetapi sampai py4YQFdYkKhBK690mZq mempublikasikan masalah itu di Reddit dan itu dikonfirmasi oleh peneliti lain, Brave belum mengeluarkan perbaikan untuk build stabil. 

13.0kViews
Total
0
Shares
Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Our site uses cookies. Learn more about our use of cookies: privacy policy
Cryptocurrencies: 6,360
Markets: 576
Marketcap: $ 1.47 T
24h Vol: $ 191.75 B
BTC Dominance: 59.38%
Total
0
Share