【洋蔥有錯】TOR最安全模式漏洞自廢隱身功能
原本由美國海軍研究實驗室喺上世紀 90 年代開發嘅 TOR(The Onion Router)洋蔥路由器,早前公布自家瀏覽器 Tor Browser Bundle 存在重大漏洞,有可能俾有心人追蹤到用家嘅真實 IP 位址,令到 TOR 嘅隱身功能失效!
用得 TOR 瀏覽器嘅人,應該都係睇中佢嘅隱身能力。TOR 嘅運作原理係當用家由上網裝置發出上網指令,到真正去到目標網站嘅過程中, TOR 會將你嘅 IP address 進行三次以上嘅加密,而且會以跳板方式、通過世界各地數以萬計嘅 volunteer 電腦,隨機選擇其中三部,每部電腦執行一次加密及解密,令訊息難以追源,連幫你解密及轉發上網指令嘅電腦、互聯網服務供應商,甚至你訪問嘅網站或服務供應商,都無法識別你嘅痕跡,所以 TOR 有一定嘅受歡迎程度,例如社運人士、傳媒、國家安全部門,甚至連毒販、殺人組織、軍火販賣商、色情行業人士等等。
不過,TOR 嘅開發團隊早幾日就公布,發現如果將瀏覽器嘅安全設定調至最高級(Safest)嘅時候,原本瀏覽器係會阻止所有網站執行 JavaScript 程式碼,不過呢個功能竟然未能運作,黑客就可以喺網站上寫入 JavaScript 惡意代碼,只要有 TOR 用家到訪,就會自動喺用家嘅瀏覽器上執行程式,從而追蹤到用家嘅真實 IP 位址。
TOR 瀏覽器存在住呢個咁大嘅漏洞,當然令唔少有隱身需要嘅用家恐慌。不過,TOR 團隊好快已提供更新檔修補漏洞,最新版本係 v11.0.17,如果未更新就要快啲搞。另外,團隊亦提供一個檢查方法,俾用家檢查瀏覽器係咪真係運作緊,只要係搜尋欄輸入「about:config」,輸入「javascript.enabled」進行搜尋,如喺「Value」欄位見到顯示「False」,就代表已關閉執行 JavaScript 功能;相反如果係「True」就要手動熄咗佢。
