Bug en el navegador Brave expuso historial de usuarios en Tor
- Una falla en el navegador Brave, hizo que se expusiera el historial de navegación de usuarios en Tor desde noviembre de 2020.
- Esta falla ocasionó que el modo Tor de Brave, enviaba una serie de solicitudes de dominios .onion a los resolutores de DNS, en lugar de a los nodos Tor privados.
- El equipo de Brave anunció que ya ha colocado un parche para solucionar esta falla.
El navegador Brave, el cual enfatiza que enfatiza la privacidad y la seguridad que brinda a los usuarios de internet, al parecer ha estado filtrando datos de sus usuarios por varios meses, así lo declararon varios investigadores de seguridad por medio de las redes sociales.
Brave presenta fallo de seguridad
El pasado viernes, el usuario de Reddit “py4YQFdYkKhBK690mZql” publicó en el foro r/netsec que el modo Tor de Brave, enviaba una serie de solicitudes de dominios .onion a los resolutores de DNS, en lugar de a los nodos Tor privados.
Para quienes no estén familiarizados con el término, un solucionador de DNS es básicamente un servidor que tiene la funcionalidad de convertir nombres de dominios en direcciones IP.
Por lo tanto, todos los sitios .onion que eran examinados por los usuarios de Brave, bajo la idea de que dichas búsquedas estaban siendo realizadas de manera completamente privada, en realidad éstas no lo fueron, ya que todas ellas pudieron ser observadas por los proveedores de servicios de Internet centralizados (ISP) sin ningún problema.
Investigación de la falla
La publicación de py4YQFdYkKhBK690mZql rápidamente causó conmoción en la red de Reddit, debido a que varios moderadores del subreddit de privacidad y seguridad, en primera instancia no aceptaron que dicho fallo fuera real y posible, por lo que quisieron asegurarse primero de que la información fuera fidedigna, razón por la cual solicitaron en el foro más investigación al respecto.
“Fue descubierto por mi socio en mi inicio, mientras estamos trabajando en un anuncio y un servicio VPN de bloqueo 'BS' (así como otras cosas, como se muestra en el sitio)...Mencionó haberlo notado mientras observaba su tráfico DNS saliente en su red local” señaló el usuario py4YQFdYkKhBK690mZql que descubrió la anomalía.
Investigadores de seguridad confirman fallo de Brave
Después de que la información fuera publicada en Reddit, esta fue confirmada por varios investigadores de seguridad en Twitter.
La información al igual que las investigaciones de los usuarios llegaron a los oídos de Brave, quien confirmó que ya se encontraba al tanto del inconveniente, además de señalar que ya estaba disponible un parche de seguridad al navegador el viernes por la noche.
Fallo con tiempo de exposición
A pesar de que la compañía del navegador lanzó el parche para solucionar el error en la programación, las filtraciones de información ya contaban con varios meses, antes de que Brave se diera cuenta de ellas, así lo señaló el investigador principal de ExpressVPN Digital Security Lab, Sean O'Brien, quien se dio a la tarea de realizar sus propias investigaciones al respecto además de las publicadas en Twitter.
En su reporte, O'Brien señaló que no solamente eran observables las solicitudes de dominio .onion, sino también todas las solicitudes de dominio en las pestañas Tor, lo que se traduce en que sin importar el sitio, aun siendo una página de YouTube, Google o Facebook, todas esas solicitudes eran perfectamente observables, incluso si el contenido no lo era.
“Una actualización del bloqueo de anuncios en el navegador Brave introdujo una vulnerabilidad que expuso a los usuarios de la función más privada del navegador: las ventanas y pestañas Tor...Los usuarios de esta función Tor en Brave esperaban tener los sitios web que visitan ocultos para sus ISP, escuelas y empleadores, pero esa información de dominio (tráfico de DNS) fue revelada”, dijo O'Brien.
Rastreo del error
Con la finalidad de encontrar desde qué momento se encuentra presente la falla en el navegador, O'Brien examinó cada versión de Brave, lo cual remonta la búsqueda hasta su lanzamiento a finales de 2019.
Por medio de sus pesquisas, descubrió que la fuga de DNS se presentó por primera ocasión en un parche para “Adblocking de soporte CNAME # 11712", el cual fue introducido en el código fuente del navegador el 14 de octubre de 2020. Posteriormente dicho parche fue incluido en la compilación nocturna del navegador Brave el mismo día.
Es importante señalar que el navegador Brave cuenta con dos versiones, una compilación nocturna, enfocada en los desarrolladores y una compilación estable, la cual es utilizada para los usuarios normales. Cada vez que se realizan cambios en la compilación nocturna, estos son puestos a prueba y una vez que tienen “luz verde” para su correcto funcionamiento, éstos son incorporados a la versión para usuarios normales.
Es así que Brave incluyó la actualización que contiene la vulnerabilidad DNS a la versión estable de su navegador el 20 de noviembre de 2020. No obstante, el fallo no fue reportado hasta casi mes y medio después, el 12 de enero de 2021, de acuerdo con Github.
La compañía dueña del navegador lanzó una solución al error hasta la compilación nocturna del 4 de febrero, pero hasta que el usuario de Twitter antes mencionado publicó el problema en Reddit, y este a su vez fue confirmado por la comunidad, Brave no había emitido solución alguna ante el problema.
Te podría interesar: