تیم Zerodium با انتشار توییتی از آسیب پذیری روز صفر در آخرین ورژن از مرورگر Tor خبر داد. بر اساس گفته های Zerodium که کار آنان خرید و فروش آسیب پذیری های نرم افزاری است، این مرورگر دارای یک آسیب پذیری جدی می باشد که یک درب پشتی با قابلیت دور زدن تمامی تدابیر امنیتی مرورگر Tor است.
افزونه ی NoScript این مرورگر برای بلاک کردن تمامی کدهای JavaScript در سطح امنیتی "ایمن" می باشد. اما این درب پشتی در حتی در زمان غیرفعال بودن تمامی افزونه ها نیز فعال است. یک کاربر توییتر با آی دی x0rz بیان نموده است که استفاده از این آسیب پذیری بسیار ساده است. Mukul Kumar، CISO و معاون اجرایی سایبری در Cavirin بیان نمود:"این آسیب پذیری بیش از یک آسیب پذیری ساده در یک مرورگر نگران کننده است.
سطح حمله بزرگ است و هکرها دارای نقاط ورودی متعددی هستند. برای حفظ موقعیت سایبری، نیاز به سخت گیری و یک رویکرد چند لایه ای امنیتی است که شامل مراحل مستحکم سازی اپلیکیشن ها و سیستم عامل، وصله های امنیتی و آموزش کاربران، به جز فایروال و رمزگذاری است." Zerodium یک پلتفرم برای آسیب پذیری های روز صفر می باشد.
این کمپانی آسیب پذیری ها را میخرد و آنان را به دولت فدرال می فروشد. لذا توسعه دهنده ی NoScript آقای Giorgio Maone در توییتی اعلام نمود: "این مشکل توسط غیرفعال شدن NoScript در JSON Viewer رخ داده است. با تشکر از campuscodi برای اطلاع رسانی این آسیب پذیری روز صفر به من. ما در حال کار برروی آن هستیم".
با توجه به سخنان Morales ، سوال بزرگ در اینجا این است که آیا این آسیب پذیری توسط سازمان های دولتی برای دسترسی به سیستم هایی که به اعتقاد آن ها توسط افراد هدف مورد استفاده قرار می گرفته، استفاده شده است یا خیر؟ عموما از سیستم Tor در کاربری های قانونی استفاده نمی شود.
معمولا در شرکت های بزرگ به عنوان یک خطر به آن نگاه می شود. Tor توسط مهاجمان به عنوان یک ابزار عبور از کنترل های امنیتی محیط برای ایجاد دسترسی از راه دور و برای فرمان و کنترل استفاده می شود. Tor همچنین برای عدم شناسایی فعالیت ها در وب استفاده می شود که فرد نمی خواهد نظارت یک ISP یا نهاد دولتی بر آن وجود داشته باشد. این آسیب پذیری اجازه می دهد که افراد دقیقا هر کاری را که انجام می دهند توسط شخصی دیگر مانیتور و نظارت شوند.