Een oplettende gebruiker van TOR-browser heeft twee dagen geleden een ernstig lek ontdekt in TOR-browser, waardoor derden toch het surfgedrag van gebruikers van het programma kunnen volgen. Het probleem, inmiddels gedoopt tot Tor bug 5741, doet zich voor in de meest recente versies van het programma.
In feite ligt het probleem in Firefox, waar het zich voor doet bij een WebSocket-verzoek. Bij het maken van een verbinding met een WebSocket wordt de communicatie met TOR omzeilt, waardoor het surfen niet meer anoniem is.
Dissidenten
Voor dissidenten in landen met een dubieus regime vormt het lek een ernstige bedreiging. In landen als Noord-Korea, China en Iran maken dissidenten veelal gebruik van TOR-browser om anoniem en buiten het bereik van de lokale veiligheidsdiensten gebruik te maken van het internet. Door het lek lopen de levens van deze mensen mogelijk gevaar.
Oplossing
Inmiddels wordt er bij het TOR-project druk gewerkt aan een patch. Vooralsnog kan de beveiliging op een handmatige manier weer op niveau gebracht worden:
- Typ ‘about:codnfig’ (zonder de aanhalingstekens) in de adresbalk van Firefox en druk op Enter
- Typ nu ‘websocket’ (wederom zonder aanhalingstekens) in de zoekbalk die nu onder ‘about:config’ verschijnt.
- Klik dubbel op “network.websocket.enabled”. Nu zou er ‘false’ in de ‘value’-kolom moeten staan.
