Многие разработчики, использующие код Tor в своих приложениях, ошибочно полагают, будто он шифрует HTTP-трафик.
Исследователи безопасности Адам Погорский (Adam Podgorski) и Милинд Бхаргава (Milind Bhargava) разработали способ, позволяющий профилировать пользователей анонимной сети Tor с помощью сбора и анализа данных с выходных узлов Tor. По словам исследователей, им удалось собрать о конкретных владельцах мобильных устройств такие данные, как GPS-координаты, web-адреса, телефонные номера и нажатия клавиш на клавиатуре.
Как обнаружили Погорский и Бхаргава, анонимайзер и сеть Tor без ведома пользователей передают незашифрованный мобильный трафик. Исследователи определили, что источниками 95% трафика являются Android-устройства, а 5% – iOS-устройства. Трафик исходил из мобильных приложений, установленных производителями электроники, сотовыми операторами и самими пользователями. «Мы считаем, что источником незашифрованного трафика является установленный на этих устройствах код Tor, а пользователи ни о чем и не подозревают», – отметил Бхаргава.
Хотя у Tor Project есть собственное Android-приложение под названием Orbot, функционал Tor в своих приложениях часто используют и сторонние разработчики. Они ошибочно полагают, будто весь трафик Tor по умолчанию либо шифруется, либо передается анонимно. Многие не понимают принцип работы Tor и считают, что с его помощью можно незашифрованный HTTP-трафик сделать зашифрованным.
Исследователи не раскрывают ни названий допускающих утечку приложений, ни их производителей. Однако, по их словам, сюда входит широкий спектр программ, начиная от самых популярных и заканчивая малоизвестными. Около четырех месяцев назад Погорский и Бхаргава сообщили о проблеме всем разработчикам уязвимого ПО, однако до сих пор не получили от них никакого ответа.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках