Brave espone log di navigazione in modalità TOR

Un recente rapporto menziona che, a causa di un errore di sicurezza, il browser Brave sta esponendo alcuni record dell’attività dei suoi utenti sui server nascosti di Tor, noto anche come “dark web”. È stato inoltre riferito che il browser, che si concentra in particolare sulla privacy dei suoi utenti, ha lasciato questi record esposti alla portata di più provider di servizi Internet.

Brave ha una funzionalità integrata per l’integrazione nella rete Tor, fornendo agli utenti funzionalità avanzate di sicurezza e privacy per nascondere al meglio la loro attività online, nonché accedere a siti Web con dominio .onion, ospitati sul dark web.

All’inizio di questo venerdì, un utente del blog di Ramble ha riferito che Brave stava perdendo richieste DNS effettuate nel browser, informazioni condivise con il proprio provider di servizi Internet. È importante ricordare che le richieste DNS non sono crittografate, quindi è possibile tenere traccia di questi record per raggiungere i siti Web visitati dagli utenti, anche se sono ospitati su Tor e vi si accede tramite Brave.

“I provider di servizi Internet sanno quali pagine stiamo visitando sulla rete Tor”, afferma l’utente nel suo post. Questo rapporto è diventato rapidamente virale tra gli entusiasti di Brave, nella misura in cui noti ricercatori come James Kettle hanno condotto un rapido esame del browser che utilizzava strumenti di analisi come Wireshark.

Nella sua relazione, Kettle ha confermato ciò che l’utente di Ramble ha menzionato: “Posso confermare che è vero; La modalità Tor del browser Brave sta filtrando gli indirizzi .onion che gli utenti stanno visitando”.

Come forse ricorderai, questo strumento è stato specificamente sviluppato come strumento di navigazione anonimo, quindi non si tratta di un incidente minore. L’incidente ha già avuto un impatto sull’immagine di Brave, che ha trascorso le ultime ore a trattare i reclami dei suoi utenti attraverso i social media. A peggiorare le cose, sembra che Brave abbia ricevuto un rapporto sul comportamento simile da aprile 2019 attraverso il suo repository Github.

Subito dopo, un rappresentante di Brave ha confermato questa situazione, aggiungendo che i suoi sviluppatori inizieranno un’indagine e rilasceranno una soluzione al problema, che sostengono non sia presente in nighty, la versione per sviluppatori di Brave.

“Stiamo elevando la correzione a una revisione stabile”, ha detto uno degli sviluppatori di Brave attraverso il suo account Twitter. Questa persona segnala che la causa di questo problema è correlata alla regressione del blocco degli annunci basata su cname, che utilizza una query DNS separata.