UPDATE – È stato rilasciato un aggiornamento al pacchetto Tor Browser Bundle che argina il problema. La versione da scaricare è la 2.2.35-11 .
Roma – Il Web può essere un posto pericoloso, ma quando il pericolo arriva da un baco nell’implementazione di Tor in Firefox il rischio riguarda la privacy e la riservatezza online. Il baco in questione è stato individuato in Tor Browser Bundle (TBB), versione “tutto compreso” del browser open source abilitato alla navigazione anonima attraverso la rete a cipolla e i siti .onion .
Le versioni recenti di TBB per Windows, OSX e Linux sono tutte affette dal problema: quando il browser viene spinto a usare il protocollo WebSocket, la richiesta di risoluzione al DNS non passa attraverso la rete di Tor ma viene spedita “in chiaro”. Il risultato è che l’anonimato che Tor dovrebbe difendere viene annullato e l’indirizzo IP dell’utente torna a essere potenzialmente visibile a occhi esterni. In attesa della disponibilità di una nuova versione di TBB mondata dal problema, gli utenti del pacchetto anonimizzatore possono disabilitare WebSocket per evitare di incappare nel baco.
Non esiste invece soluzione al problema delle estensioni per Firefox “infedeli”, che surrettiziamente o meno abusano della connessione dell’utente per scopi molto diversi da quelli indicati.Una di queste estensioni infedeli scoperte di recente è ad esempio ShowIP , popolare addon per l’identificazione dell’indirizzo IP di un sito visitato che apparentemente invia di nascosto le abitudini di navigazione dell’utente a un sito tedesco specializzato in marketing telematico.
Ancor più inquietante il comportamento di una estensione “rogue” scoperta dalla società di sicurezza StopMalvertising , che si camuffa come update da installare per Adobe Flash e prende poi ad abusare la sessione del browser forzando la visita di URL aggiuntivi oltre a quelli visitati “in chiaro” dall’utente.
Contro questi e altri problemi i coder Mozilla spingo per l’adozione del “click-to-play”, vale a dire l’ attivazione manuale dei plugin e componenti aggiuntivi come il summenzionato Flash al posto del caricamento automatico all’avvio del browser. Sarà la soluzione giusta? Forse no, visto che gli attacchi più recenti fanno largo impiego dell’ingegneria sociale e il click-to-play potrebbe semplicemente limitarsi a ritardare la loro efficacia nel colpire l’utente.
Alfonso Maruccia