2013年8月7日 星期三

反追蹤瀏覽軟體Tor Browser Bundle成駭客攻擊目標

反追蹤瀏覽軟體Tor Browser Bundle成駭客攻擊目標

Firefox當中的JavaScript漏洞影響了Tor Browser Bundle的安全性。TOR Project創辦人Roger Dingledine說明,該漏洞允許各種程式的執行,駭客原則上可掌控受駭者的電腦,但此次所觀察到的攻擊則是用來蒐集電腦上的主機名稱與MAC位址,同時滲透了Tor Browser Bundle隱藏服務,猜測駭客已取得造訪這些隱藏服務的使用者名單。

專門研發反追蹤軟體、保障網路匿名性的TOR Project周一(8/5)表示,發現鎖定Tor Browser Bundle軟體用戶的攻擊行動,但有安全工程師認為這應該是執法機關的傑作。

Tor Browser Bundle為TOR Project以Firefox為基礎所開發的瀏覽器套件,它可藉由隨身碟攜帶,然後在需要的時候安裝在Windows、Mac OS X或Linux等平台上,執行Tor Browser Bundle時即可開啟瀏覽器功能,並額外提供流量加密與繞道各種複雜、匿名節點來保障通訊或瀏覽的隱私。


不過,Firefox當中的JavaScript漏洞影響了Tor Browser Bundle的安全性。TOR Project創辦人Roger Dingledine說明,該漏洞允許各種程式的執行,駭客原則上可掌控受駭者的電腦,但此次所觀察到的攻擊則是用來蒐集電腦上的主機名稱與MAC位址,同時滲透了Tor Browser Bundle隱藏服務,猜測駭客已取得造訪這些隱藏服務的使用者名單。

該攻擊行動是鎖定Firefox瀏覽器中的JavaScript漏洞,Dingledine表示,雖然Firefox是跨平台的瀏覽器,但攻擊碼卻是專為Windows所設計,因此只有Windows上的Tor Browser Bundle用戶受到影響。Mozilla與Tor Browser Bundle已在最新的軟體中修補該漏洞,因而呼籲使用者儘快更新所使用的版本。

不過,來自Square的安全工程師Vlad Tsyrklevich認為,該攻擊沒有下載任何的後門或執行任何命令,鐵定是執法機構的行為,影射FBI是攻擊背後的推手。

除了呼籲使用者升級外,Dingledine還建議使用者可以考慮關閉JavaScript以及改用Windows以外的作業系統。Dingledine說,關閉JavaScript能夠減少攻擊漏洞,不再使用Windows從許多面向來看都對安全有幫助,例如採用可透過隨身碟攜帶的活動作業系統(live operating system)能夠保障使用者的匿名性與隱私。

轉載自《iThome》