Tor Browser corrige une vulnérabilité qui permettait de traquer les utilisateurs

0

Le projet Tor a publié Tor Browser 10.0.18 pour corriger de nombreux bogues, y compris une vulnérabilité qui permet aux sites de suivre les utilisateurs en prenant les empreintes digitales des applications installées sur leurs appareils.

En Mai, la société d’empreintes digitales JavaScript FingerprintJS a révélé une vulnérabilité « d’inondation de schémas » qui permet le suivi des utilisateurs sur différents navigateurs en fonction des applications installées sur leur appareil.

Pour suivre les utilisateurs, un profil de suivi est créé pour un utilisateur en essayant d’ouvrir divers gestionnaires d’URL d’application, tels que zoommtg://, et en vérifiant si le navigateur lance une invite, comme celle pour Zoom ci-dessous.

zoom tor browser
Gestionnaire d’URL de Zoom

Si l’invite de l’application s’affiche, on peut supposer que l’application est installée sur l’appareil. En recherchant de nombreux gestionnaires d’URL, la vulnérabilité peut créer un identifiant basé sur la configuration unique des applications installées sur l’appareil de l’utilisateur.

Cet identifiant peut ensuite être suivi sur différents navigateurs, notamment Google Chrome, Edge, Tor Browser, Firefox et Safari.

Cette vulnérabilité est particulièrement préoccupante pour les utilisateurs de Tor qui utilisent le navigateur pour protéger leur identité et leur adresse IP lors de leur connexion à des sites. Comme cette vulnérabilité suit les utilisateurs à travers les navigateurs, elle pourrait permettre aux sites Web, et même aux forces de l’ordre, de suivre l’adresse IP réelle d’un utilisateur lorsqu’il passe à un navigateur non anonyme, tel que Google Chrome.

Avec la sortie du navigateur Tor Browser 10.0.18, le projet Tor a introduit un correctif pour cette vulnérabilité en définissant le paramètre ‘network.protocol-handler.external’ sur ‘false’.

Ce paramètre par défaut empêchera le navigateur de transmettre la gestion d’une URL particulière à une application externe et ne déclenchera donc plus les invites de l’application.

Journal complet des modifications

Le journal complet des modifications pour Tor Browser 10.0.18 est:

  • Toutes les platformes
    • Mettre à jour Tor vers la version 0.4.5.9
  • Android
    • Mettre à jour Fenix vers la version 89.1.1
    • Mettre à jour NoScript vers la version 11.2.8
    • Bug 40055: Rebase les correctifs des composants Android sur 75.0.22 pour Fenix 89
    • Bug 40165: Annoncer l’abandon du service onion v2 sur about:tor
    • Bug 40166: Masquer l’onglet « Normal » (à nouveau) et l’onglet Sync dans TabTray
    • Bug 40167: Masquer « Enregistrer dans la collection » dans le menu
    • Bug 40169: Rebase les correctifs fenix vers fenix v89.1.1
    • Bug 40170: Erreur de construction de tor-browser-89.1.1-10.5-1
    • Bug 40432: Empêcher le sondage des applications installées
    • Bug 40470: Rebaser les correctifs 10.0 sur 89.0
  • Système de construction
    • Android
      • Bug 40290: Mettre à jour les composants pour Fenix basé sur Mozilla89

Vous pouvez effectuer une mise à niveau vers le navigateur Tor Browser 10.0.18 en ouvrant le menu, en allant dans Aide et en sélectionnant À propos du navigateur Tor, qui recherchera et installera automatiquement toutes les nouvelles mises à jour.

Vous pouvez également télécharger le dernier navigateur à partir de la page de téléchargement du navigateur Tor et du répertoire de distribution.

Laisser un commentaire