Brave Browser gelekte DNS-query's voor Onion Services

Published on 27 February 2021 at 16:30

Brave, een browser die gebruikers toegang geeft tot onion-services, had een bug die vragen voor onion-adressen naar openbare DNS-resolvers stuurde.

Brave is een browser die zichzelf adverteert als een privacygerichte browser met ingebouwde ondersteuning voor het blokkeren van advertenties, het uitschakelen van javascript, het blokkeren van cookies en soortgelijke taken. Een van de recentere toevoegingen aan de browser is een functie genaamd "Privévenster met Tor."

 

 

In dit geval vormen de adblock-mogelijkheden van de browser - die op zichzelf niet meer nuttig zijn dan een adblocker of PiHole - de kern van de DNS-lekken. TheHackerNews.com heeft het DNS-lekprobleem treffend beschreven binnen de reikwijdte van de advertentieblokkerende functies van de browser:

 

Dit probleem komt voort uit de CNAME-functie voor het blokkeren van advertenties van de browser die trackingscripts van derden blokkeert die CNAME DNS-records gebruiken om zich voor te doen als het script van de eerste partij, terwijl dit niet het geval is en detectie door inhoudblokkers wordt voorkomen. Door dit te doen, kan een website scripts van derden camoufleren met behulp van subdomeinen van het hoofddomein, die vervolgens automatisch worden omgeleid naar een trackingdomein.

 

 

Deze functie van de browser is - of was - onmiddellijk merkbaar voor iedereen die een lokale DNS-sinkhole gebruikt of DNS-querylogboeken controleert. En voor degenen die hun server en de niet-gepatchte versie van Brave-browser gebruiken, is het testen van de bug eenvoudig.

 

 


Met Brave kunnen gebruikers onion-services openen in een Tor-enabled tabblad.
Pas uw DNS-querylogboeken aan (of schakel logboekregistratie tijdelijk in) en klik vervolgens met de Brave-browser met de rechtermuisknop op een link en "Open link in privévenster met Tor." Uw DNS-server moet een vraag voor een ui-service oppikken.

 

Het testen van een DNS-blackhole versus de implementatie van de onion-service van Brave
Een rapport over het bug bounty-platform HackerOne bracht dit probleem op 13 januari 2020 naar voren. Een nachtelijke release van de browser bevatte naar verluidt een patch voor de bug. Brave had een update voor de browser gepland met een patch voor het DNS-lek in Brave 1.21.x, maar bracht pas een update uit voor de openbare versie van Brave na de openbaarmaking van de bug.

 

 

Natuurlijk mag niemand de Brave-browser gebruiken om toegang te krijgen tot ui-services. Een bepaalde organisatie levert zijn browser die is gekoppeld aan uien-services. De Tor-browser is een onhandige, op FireFox gebaseerde browser die standaard de mogelijkheid van de browser beperkt om uw pogingen om privé door ui-services te bladeren, te dwarsbomen. De Tor-browser heeft in het verleden gebreken vertoond die gebruikers deanonimiseren, maar deze problemen hadden voor het grootste deel alleen invloed op gebruikers die javascript toestonden en geen extra moeite deden om anoniem te blijven.

 

 

Over het gebruik van Tor Browser in plaats van Brave voor onion-services

Op beveiliging gerichte markten zoals Monopoly, White House Market die maken van javascript een non-issue door gebruikers te dwingen javascript uit te schakelen.

 


Anderen, zoals Versus (dat ook een door beveiliging aangedreven markt is) en TorRReZ, waarschuwen gebruikers met javascript door te proberen een paar regels javascript te laden; als het javascript wordt geblokkeerd door de browser, ervaart de gebruiker geen verandering.

 


Als het niet is geblokkeerd, wordt een stijl toegepast op een waarschuwingsbanner die bovenaan het venster verschijnt.


«   »

Add comment

Comments

There are no comments yet.