Een beveiligingsonderzoeker heeft ontdekt dat een exit node in het Tor-netwerk actief binaries onderschept en deze modificeert. Op deze manier kan een gebruiker bij het downloaden van bestanden van veilige servers alsnog besmet worden met malware.
Er zijn 1110 Tor exit nodes onderzocht door beveiligingsonderzoeker Josh Pitts van Leviathan Security Group. Eentje daarvan, gestationeerd in Rusland, bleek uit het internetverkeer actief binaries te onderscheppen om deze vervolgens te modificeren met eigen code. Volgens Pitts is de bewuste exit node in staat om malware aan een bestand toe te voegen zonder dat de gebruiker dit merkt.
Het onderzoek van Pitts toont aan dat gebruikers van Tor vatbaar zijn voor man-in-the-middle-aanvallen. Omdat de gebruiker denkt een bestand te downloaden van een veilige en betrouwbare server valt de malware-infectie niet op. Om de man-in-the-middle-aanvallen te voorkomen zouden gebruikers bij het downloaden van bestanden via een https-verbinding moeten werken.
Pitts stelt dat het Tor-project op de hoogte is gesteld van de malwareverspreidende exit node; deze is inmiddels aangemerkt als onbetrouwbaar, waardoor er geen verkeer meer door geleid wordt. Het is nog onduidelijk of Tor checks in gaat bouwen om modificaties van binaries onmogelijk te maken, al wordt er wel over nagedacht.