В браузере Tor найдена уязвимость, позволяющая воровать биткоины

Создатель Victoria Grain Спец по кибербезопасности, работающий под псевдонимом nusenu, нашел уязвимость в секретном браузере Tor.

Хакеры могут получить шанс украсть биткоины, если возьмут под контроль выходные узлы. Браузер Tor употребляет технологию, повышающую анонимность юзеров в сети, скрывая их IP-адреса. Данные зашифровываются при помощи «луковой маршрутизации», осуществляемой через несколько промежных узлов. По данным исследователя nusenu, основную опасность представляют операторы выходных узлов, получающие информацию о настоящем предназначении пользовательских запросов.

Чтоб получить полный контроль над незашифрованным HTTP-трафиком, хакеры выборочно убирают редиректы HTTP-HTTPS. Особенное внимание злоумышленники уделяют запросам на миксеры биткоина и веб-сайты, имеющие отношение к криптовалютам. Управляя выходными узлами, хакеры могут удалять протоколы шифрования на таковых веб-сайтах, также просматривать данные юзеров и выслеживать их деяния. Уязвимость дозволяет взломщикам изменять адреса Биткоина в HTTP-трафике и переадресовывать транзакции на свои кошельки.

В этом году взломщикам удалось взять под контроль 24% выходных узлов в Tor. К маю их количество достигнуло 380, и эта цифра существенно превосходит характеристики крайних 5 лет. Невзирая на то, что атаки с применением метода «человек в центре» (MITM) уже не новаторство, эксперт был удивлен масштабами данной нам атаки.

21 июня админы Tor провели ликвидацию вредных узлов, но злоумышленники все еще контролируют наиболее 10% выходных узлов. Потому с большенный вероятностью атаки могут возобновиться. Чтоб решить эту делему, исследователь предложил временно ограничить количество выходных узлов либо работать лишь с испытанными операторами узлов. Для этого будет нужно проходить верификацию адресов электрической почты либо указывать фактический сетевой адресок.

Напомним, что в прошедшем году хакеры распространяли поддельную версию браузера Tor с вредоносными программками для кражи биткоинов.

Источник

Author: Zero