Firefox 기반 브라우저서 Tor 익명성 무력화 취약점 발견

보안 연구업체 Fingerprint.com의 연구진이 모든 Firefox 기반 브라우저에 영향을 미치는 중대한 프라이버시 취약점을 발견했다. 이 취약점은 IndexedDB API가 반환하는 데이터베이스 목록의 순서를 통해 웹사이트가 고유하고 안정적인 브라우저 프로세스 식별자를 생성할 수 있게 한다. 문제는 이 동작이 오리진 범위가 아닌 프로세스 범위에서 발생한다는 점이다. 이로 인해 서로 관련 없는 웹사이트들이 동일한 식별자를 독립적으로 관찰하고 같은 브라우저 런타임 동안 오리진 간 활동을 연결할 수 있다. Firefox의 사생활 보호 모드에서는 모든 사생활 보호 창이 닫힌 후에도 Firefox 프로세스가 실행 중인 한 식별자가 지속된다. 더욱 심각한 것은 Tor Browser에서 쿠키와 브라우저 기록을 지우고 새로운 Tor 회로를 사용하는 완전한 재설정 기능인 'New Identity' 기능을 통해서도 안정적인 식별자가 지속된다는 점이다. 연구진은 이 문제를 Mozilla와 Tor Project에 책임감 있게 공개했다. Mozilla는 Firefox 150과 ESR 140.10.0에서 신속하게 수정사항을 배포했으며, 패치는 Mozilla Bug 2024220에서 추적되고 있다. 수정 방법은 원칙적으로 간단하다. 브라우저가 프로세스 범위 상태를 반영하는 내부 스토리지 순서를 노출하지 않도록 하는 것이다. 결과를 반환하기 전에 정규화하거나 정렬하면 엔트로피가 제거되고 이 API가 안정적인 식별자 역할을 하는 것을 방지할 수 있다.