Chào anh em đồng dâm. Đang đêm định lướt web ẩn danh làm tí "tài liệu học tập" hoặc dạo chợ đen mua ít tiền ảo thì thấy quả tin sét đánh trên Hacker News (829 upvotes, không đùa được đâu). Tor - bức tường thành cuối cùng của hội sợ lộ info - vừa bị bóc mẽ là dính một lỗ hổng chà bá lửa. Mời anh em pha ấm trà, cắn miếng bánh, cùng tôi mổ xẻ quả drama khét lẹt này.
Nguồn cơn đến từ pháp sư chuyên bán giải pháp tracking: Fingerprint.com. Các đạo hữu này vừa ném một quả bom khi công bố họ tìm ra cách dùng API IndexedDB trên Firefox để dính chặt một cái ID duy nhất vào người dùng.
Ác cái là, Tor Browser lại được build trên lõi của Firefox. Thế là toang! Cơ chế của lỗ hổng này rất ma giáo: Bình thường anh em xài Tor, ấn nút "New Identity" hoặc đổi Tor Circuit để xóa dấu vết, làm người mới. Nhưng đ*o! Do cái IndexedDB này không được dọn dẹp và cô lập tử tế giữa các session, nó lén lút truyền cái identifier xuyên qua các identity của các ông.
Kết quả? Mọi hoạt động tưởng chừng ẩn danh, đổi IP bét nhè của các ông bị xâu chuỗi lại thành 1 profile duy nhất. Khác gì mặc áo tàng hình nhưng lại xăm mẹ mã QR lên trán không?
Bài post ngoi lên top HN và cộng đồng chia phe combat cực gắt:
Sự việc này là một cú tát thẳng vào mặt những ai có tư duy "cứ xài tool xịn là auto an toàn". Privacy trên internet giống như lời hứa tăng lương của sếp lúc đánh giá cuối năm vậy: "Nghe thì uy tín nhưng hở ra là vỡ mộng".
Bài học xương máu cho anh em dev chúng ta: Khi implement các feature liên quan đến Client-side Storage (LocalStorage, SessionStorage, IndexedDB), làm ơn check kỹ scope và lifecycle của nó. Các ông code tính năng giỏ hàng hay lưu cache cho mượt mà không cô lập state tử tế, thì leak data từ browser khách hàng chỉ là chuyện sớm muộn. State isolation cực kỳ khoai, và bug logic kiểu này nguy hiểm gấp vạn lần mấy cái bug UI.
Chốt hạ, anh em nào lỡ dùng Tor tuần vừa rồi để làm việc mờ ám thì tự lo đi nhé. Còn tôi thì thà thuê một con proxy uy tín hoặc dùng Free $300 to test VPS on Vultr tự dựng VPN cá nhân quẩy cho lành.
Nguồn hóng hớt: Fingerprint.com Blog
Quả phốt to tướng từ Hacker News: Lỗ hổng IndexedDB trên Firefox khiến mọi identity ẩn danh trên Tor của anh em bị xâu chuỗi lại. Cùng hóng drama và rút kinh nghiệm đứt máu!
