The Tor Project đã phát hành Tor Browser phiên bản 10.0.18 để sửa nhiều lỗi, trong đó có lỗ hổng bảo mật cho phép các trang web theo dõi người dùng bằng cách lấy thông tin từ các ứng dụng đã cài đặt trên thiết bị.

Để theo dõi người dùng, một hồ sơ theo dõi sẽ được tạo khi người dùng truy cập vào một số các URL của các ứng dụng, ví dụ như zoommtg://, và kiểm tra xem trình duyệt có hiện lên một khung để hỏi người dùng, như Zoom cho hình dưới

Nếu khung này xuất hiện thì có nghĩa là ứng dụng đã có cài đặt trên thiết bị. Bằng cách kiểm tra nhiều URL ứng dụng như thế này, lỗ hổng có thể tạo ra một ID dựa trên các ứng dụng được cài đặt trên thiết bị người dùng.

ID này có thể bị theo dõi bởi nhiều trình duyệt khác nhau như Google Chrome, Edge, Tor Browser, Firefox, and Safari.

Lỗ hổng này ảnh hưởng đặc biết đến người dùng Tor, những người muốn bảo vệ danh tính và IP khi sử dụng web.

Với việc phát hành Tor Browser 10.0.18, Tor Project đã sửa lỗi này bằng cách thay đổi setting “network.protocol-handler.external” thành false.

V