O Tor é um navegador criado para navegação anônima, protegendo o usuário de ser identificado tanto para fins nobres (denúncias contra governos autoritários, por exemplo) quanto para fins criminosos (tráfico de drogas e pedofilia, por exemplo). Então, é compreensível que a comunidade tome um susto com um bug que estava vazando os IPs reais dos usuários.
A falha, batizada como “TorMoil” (um jogo de palavras com o nome do browser que pode ser traduzido como “turbulência”), foi identificada nas versões de macOS e do Linux. Ela se apresenta se o usuário tenta acessar um tipo específico de link, que comecem com “file://” em vez dos mais comuns “https://” ou “https://”, como explica o Ars Technica.
A vulnerabilidade foi descoberta por uma empresa de segurança chamada We Are Segment, que relatou a brecha diretamente para os desenvolvedores do Tor, que distribuíram uma correção temporária que soluciona o problema enquanto uma solução definitiva não fica pronta. Na prática, é a famosa “gambiarra”.
“A correção que distribuímos é uma solução alternativa que impede o vazamento. Como resultado, navegar por URLs com ‘file://’ podem não funcionar conforme o esperado”, dizem os representantes do Tor Project. Desta forma, ao clicar em links com esse prefixo ou digitá-los na barra de endereço, o navegador simplesmente não será capaz de abri-los. A alternativa oferecida pelos desenvolvedores é arrastar o endereço com o mouse para a barra de endereços ou para uma nova aba.
Vale notar que a falha não atinge usuários do Tor no Windows. Além disso, o comunicado do Tor diz que não há evidências de que a brecha tivesse sido explorada durante o tempo em que esteve aberta. Isso dito, a falta de provas não significa que a vulnerabilidade jamais tenha sido aproveitada, então usuários do navegador no Linux e no Mac devem atualizar o navegador o quanto antes.