Brave 浏览器的隐私漏洞会暴露用户访问的 onion URL

安全 漏洞
在本周的一个在线发布的研究中,一位匿名安全研究人员声称他们发现 Brave 的 Tor 模式正在将对 .onion 域的查询发送到公共 Internet DNS 解析器而不是 Tor 节点,这将暴露用户访问的 onion URL。

在本周的一个在线发布的研究中,一位匿名安全研究人员声称他们发现 Brave 的 Tor 模式正在将对 .onion 域的查询发送到公共 Internet DNS 解析器而不是 Tor 节点,这将暴露用户访问的 onion URL。

Brave 是基于 Chromium 的浏览器,以重视隐私著称,并于 2018 年 6 月添加用于匿名浏览 Web 的内置 Tor 浏览器模式。位于 Tor 上的网站使用 onion URL 地址,因此用户只能通过 Tor 网络访问。例如,DuckDuckGo 的 Tor 地址为 https://3g2upl4pq6kufc4m.onion/,纽约时报的地址为 https://www.nytimes3xbfgragh.onion/。

在使用 Brave 的 Tor 模式时,它本应将所有请求转发到 Tor 代理,并且不向任何非 Tor 网络设备发送任何信息。但是,Brave 的 “Private window with Tor” 模式会导致用户访问的任何 Tor onion URL 也被作为标准 DNS 查询发送到计算机的已配置 DNS 服务器。该问题是由 Brave 的 CNAME 伪装广告阻止功能引起的,该功能用于阻止使用 CNAME DNS 记录模仿第一方脚本的第三方跟踪脚本。

该问题发现之初还受到争议,但随后另外几位著名的安全研究人员也再现了该问题,包括 PortSwigger Web Security 研究总监 James Kettle 和 CERT/CC 团队的漏洞分析师 Will Dormann。

目前该问题已经修复。在问题暴露后,Brave Browser 开发人员 Yan Zhu 表示该问题实际上已在两周以前的 Nightly 版本中修复,并计划于下个稳定版中推出。之后不久,Brave 浏览器就发布了 1.20.108 版本更新。

本文转自OSCHINA

本文标题:Brave 浏览器的隐私漏洞会暴露用户访问的 onion URL

本文地址:https://www.oschina.net/news/130452/brave-tor-onion-url-leak

责任编辑:未丽燕 来源: 开源中国
相关推荐

2019-07-26 10:55:36

2022-02-09 10:03:22

VivaldiBrave浏览器

2013-11-08 09:10:23

2021-10-21 05:48:41

浏览器Brave隐私保护

2013-11-06 09:34:20

浏览器搜狗

2013-11-06 13:45:55

搜狗浏览器安全漏洞

2021-11-29 14:38:45

FedoraLinuxBrave浏览器

2018-12-14 10:30:28

浏览器 Chrome 内核

2021-05-11 09:07:18

Chrome浏览器HTML标签

2021-03-01 06:21:56

Chrome浏览器HTTPS

2022-01-21 13:37:01

苹果MacSafari 浏览器

2013-08-16 17:25:59

2012-11-23 11:25:12

2021-08-31 10:07:32

BraveFirefox浏览器

2015-04-21 10:09:57

2013-06-17 15:41:13

Linux 终端浏览器

2022-01-21 06:54:18

iPhoneiPadiOS

2013-07-01 15:16:18

浏览器上网隐私

2013-08-16 17:10:56

2022-01-25 19:36:46

ChromeBrave浏览器
点赞
收藏

51CTO技术栈公众号