Tor code audit
A Radically Open Security nonprofit kiberbiztonsági tanácsadó cég által 2023 áprilisa és augusztusa között végzett ellenőrzés a Tor böngészőre, a kilépési relékre, a kitett szolgáltatásokra, az infrastruktúrára, valamint a tesztelési és profilalkotási eszközökre terjedt ki. Az értékelés eredményeit a héten hozták nyilvánosságra.
Az audit – egy kristálydobozos behatolásvizsgálat (crystal box penetration test), ahol a tesztelő hozzáfér a forráskódhoz – összesen 17 biztonsági problémát tárt fel.
Ezek többsége közepes és alacsony kockázatú hiba, amelyek kihasználhatók DoS-támadások indítására, a biztonság lefokozására vagy megkerülésére, valamint információkhoz való hozzáférésre. Néhány probléma elavult vagy nem karbantartott, harmadik féltől származó komponensek használatával kapcsolatos.
A hibák közül a legsúlyosabb az Onion Bandwidth Scanner-t (Onbasca) érintő cross-site request forgery (CSRF) hiba. Ez a nagy kockázatú sebezhetőség lehetővé teheti egy nem hitelesített támadó számára, hogy hidakat injektáljon az adatbázisba.