Veilige browser blijkt niet zo veilig

Brave Software claimt de meest privacy-veilige webbrowser te maken. Onderdeel daarvan is de Tor-modus, die gebruikers in staat stelt makkelijk .onion-adressen te benaderen op het dark web. Het is niet nodig om daarvoor de aparte Tor-client te downloaden, die doorgaans wordt gebruikt voor het benaderen van het dark web.

Het dark web is vooral bekend vanwege de criminele activiteiten van onder meer malwaremakers en -gebruikers. Het afgesloten karakter van Tor (The Onion Router) biedt echter ook steeds vaker mensen in landen waar het regime een sterke censuur oplegt de mogelijkheid om via de .onion-versies van populaire website zoals Facebook en Wikipedia ongecensureerd op de hoogte te blijven van nieuws.

Privacy ondermijnd

Vlak voor het weekend werd echter duidelijk dat de Tor-modus van Brave een fout maakt. Bij het opvragen van .onion-adressen stuurt de browser de verzoeken naar publieke DNS-resolvers van het adresboek op internet, in plaats van naar de speciale Tor-knooppunten. Daarmee is het mogelijk de activiteiten van Brave-gebruikers op het dark web te volgen.

Brave Software heeft de misser inmiddels erkend en heeft op Twitter aangekondigd een oplossing te hebben. Het probleem bleek te zitten in de adblocker die standaard in Brave zit ingebouwd. Die checkt de DNS-queries op pogingen zijn adblocking-activiteiten te omzeilen. De ontwikkelaars waren echter vergeten dat de .onion-queries daarvan uitgesloten moesten blijven.

Fix versneld uitgebracht

Het probleem is twee weken geleden al ontdekt en hersteld in een nieuwe versie van Brave die in ontwikkeling is. Na het bekend worden van het probleem is deze fix met spoed geschikt gemaakt voor de huidige versie van de Brave-browser. Tor is oorspronkelijk (in 1995) ontwikkeld door het United States Naval Research Laboratory voor het doel van open communicatie.