Anonymes Surfen: Tor Browser absolviert Sicherheitstests
Externe Tester haben Komponenten des anonymisierenden Tor Netzwerks und den Tor Browser auf Sicherheit abgeklopft.
(Bild: Dmitry Demidovich/Shutterstock.com)
Mit dem Tor Browser surft man über das Tor Netzwerk anonym im Internet. Um die Privatsphäre stets zu wahren, ist die Sicherheit der Software dementsprechend besonders wichtig. Nun haben die Verantwortlichen des Projekts eine externe Sicherheitsprüfung für verschiedene Komponenten des Tor-Ökosystems beauftragt. Mittlerweile liegen die Ergebnisse vor.
IT-Sicherheitsaudit
In einem Beitrag führen sie aus, dass sie dafür das IT-Sicherheitsunternehmen Radically Open Security beauftragt haben. Die bezeichnen sich selbst als Non-Profit-Beratungsunternehmen. Die Tester haben sich unter anderem die Exit Relays, den Tor Browser und Services wie Onionoo API angeschaut.
Ziel der Untersuchung ist es, Sicherheitslücken und die Sicherheit gefährden Elemente wie veraltete Module von Drittanbietern aufzudecken.
Entdeckte Sicherheitsprobleme
Die Ergebnisse haben sie in einem ausführlichen Bericht zusammengefasst. Insgesamt haben sie 17 Sicherheitsprobleme entdeckt. Den Großteil stufen sie mit dem Bedrohungsgrad "niedrig" ein. So könnten Angreifer im Kontext das anonyme Surfen unter anderem Informationen leaken. Auch DoS-Attacken sind vorstellbar.
Eine Schwachstelle in Onion Bandwith Scanner (onbasca) haben sie mit "hoch" versehen. Dort könnte ein vorauthentifizierter Angreifer für eine CSRF-Attacke ansetzen und so manipulierend auf die Datenbank zugreifen.
Insgesamt fällt das Ergebnis der Sicherheitsprüfung positiv aus. Die Tester weisen aber auf den Tor Browser als kritische Komponente hin. Hier müssen die Entwickler stets auf der Hut sein und sich vor allem um Speicherfehler kümmern. Daran setzen Angreifer oft an, um Schadcode auf Systeme zu schieben und auszuführen. Solche Sicherheitsprobleme tauchen im Unterbau des Tor Browsers Firefox ESR immer wieder auf.
(des)
