SUSE by Ingram

พบบั๊กบน Brave Browser เผย Tor Onion URL ให้ DNS Server

มีการรายงานที่เกิดขึ้นกับ Brave Browser ในโหมดของ ‘Private Window with Tor’ ซึ่งเผย Tor Onion URL ไปยัง DNS Server ที่ผู้ใช้ตั้งเอาไว้

credit : BleepingComputer

Brave Browser เป็น Chromium-based Browser ตัวหนึ่งที่โฟกัสเรื่องของ Privacy โดยมีฟีเจอร์ช่วยบล็อกการโฆษณาในตัว การควบคุมด้านข้อมูล หรือมีโหมดการใช้งานบน Tor ซึ่งเน้นความเป็น Anonymity ในการใช้งาน (มีเว็บไซต์มากมายที่เข้าถึงได้ผ่าน Tor เท่านั้น ซึ่งเว็บไซต์ในเครือข่ายจะอ้างอิงกันด้วย onion URL Address เช่น New York Times คือ https://www.nytimes3xbfgragh.onion ) โดยในการใช้ Tor Brave จะทำตัวเป็น Proxy ไปยังเครือข่ายของ Tor อย่างไรก็ดีมีผู้คนพบว่า Brave ได้เผย onion URL ไปยัง DNS Server ที่เราตั้งเอาไว้ในเครื่อง 

หลังจากที่ทีมงานของ Brave ได้รับแจ้งจึงตรวจดูพบว่ามีบั๊กในฟีเจอร์ CNAME Declocking ในฟีเจอร์ Ad-blocking ที่เปิดเพื่อบล็อก Tracking Script จาก 3rd-party ด้วยเหตุนี้เองจึงได้ปิด CNAME Adblocking เมื่อผู้ใช้เปิดโหมด Tor Browsing โดยคาดว่าจะแก้ไขเรียบร้อยในเวอร์ชันทดลอง 1.21.x

ที่มา : https://www.bleepingcomputer.com/news/security/brave-privacy-bug-exposes-tor-onion-urls-to-your-dns-provider/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] แคสเปอร์สกี้พร้อมผู้เชี่ยวชาญในวงการร่วมเสริมแกร่งกลยุทธ์การป้องกันทางไซเบอร์ของ APAC ในช่วงการแพร่ระบาดของโรคและหลังจากนี้เป็นต้นไป

“ความยุติธรรมจะมีชัยในโลกไซเบอร์ได้หรือไม่”  นี่คือคำถามหลักบนเวทีการประชุม ด้านนโนบาย “APAC Online Policy Forum II” ในหัวข้อ “Guardians of the Cyberspace: can justice …

ฝึกอบรมพนักงานและผู้บริหารให้รู้เท่าทันภัยไซเบอร์ ลดความเสี่ยงข้อมูลธุรกิจรั่วไหลจากภัยคุกคาม ด้วยระบบ E-Learning สำหรับ Security Awareness จาก Terranova โดย nForce Secure

เมื่อเทคโนโลยีดิจิทัลกลายเป็นองค์ประกอบสำคัญในการดำเนินธุรกิจทุกวัน ภัยคุกคามหลากหลายรูปแบบก็กลายมาเป็นความเสี่ยงสำคัญที่ธุรกิจต้องรับมือให้ได้ การเสริมภูมิคุ้มกันให้กับพนักงานและผู้บริหารรู้เท่าทันและสามารถรับมือกับภัยเหล่านี้และไม่ตกเป็นเหยื่อของการโจมตีง่ายๆ ไม่ว่าจะเป็นการหลอกลวงในรูปแบบ Phishing หรือการเรียกค่าไถ่ด้วน Ransomware ไปจนถึงการโจมตีรูปแบบอื่นๆ จึงกลายเป็นอีกกิจกรรมที่จำเป็นจากทั้งในมุมของฝ่าย IT Security และ Human Resource (HR)