В браузере Tor исправили крупную «дыру» для слежки за пользователями

Разработчики популярного браузера для приватного веб-сёрфинга выпустили новую версию приложения. Помимо устранения ряда багов и оптимизации, Tor лишился важного недостатка предыдущих сборок — уязвимости, которая позволяла сайтам идентифицировать пользователей.

Речь идёт о механизме, который в мае 2021 года обнаружили эксперты компании FingerprintJS. Как выяснилось, во многих современных браузерах отслеживать пользователей можно с помощью доступа к перечню установленных приложений на устройствах. Для этого создаётся специальный профиль, который открывает различные обработчики URL-адресов. Они же, в свою очередь, проверяют, есть ли на устройстве то или иное приложение — и обращается ли оно к специфическому адресу или нет.

Используя перебор обработчиков URL-адресов, механизм формирует список установленных на конкретном устройстве приложений, а самому пользователю присваивается уникальный идентификатор. Подобная схема отслеживания уже давно работает в популярных браузерах вроде Chrome, Edge, Firefox, Safari. В Tor Browser версии 10.0.18 уязвимость была закрыта — для параметра network.protocol-handler.external разработчики установили значение false. Создатели приложения порекомендовали пользователям как можно скорее установить апдейт, открыв меню «Помощь» — «О браузере Tor».