Несколько дней назад в торренты попала Red Star OS, официальная операционная система Северной Кореи. В комплекте с ней идёт штатный браузер Naenara 3.5, тоже довольно странная штука. Разработчики из компании WhiteHat Security (создатели браузера Aviator) решили разобраться, как работает Naenara.
Северокорейский браузер на практике оказался форком Firefox. По оценке WhiteHat Security, использовалась версия Firefox примерно пятилетней давности.
Все веб-страницы загружаются в браузер через IP-адрес 10.76.1.11, то есть северокорейский интернет больше похож на большую локальную сеть, а адрес 10.76.1.11 выполняет роль большого прокси-сервера для всего разрешённого внешнего интернета. И это не единственная странность.
При каждой установке браузера создаётся уникальный идентификатор (метка микровремени), который отправляется на удалённый сервер. Эту метку можно в дальнейшем использовать для идентификации каждого пользователя. Кстати, точно так делает браузер Chrome.
Все краш-репорты тоже отправляются на 10.76.1.11.
Исследователи предполагают, что браузер допускает установку расширений, плагинов и тем, хотя не совсем понятно, допускается установка оригинальных расширений или каких-то собственных. На это указывает содержимое следующих страниц.
Вся почта и другой трафик тоже проходит через единый прокси. Сюда же ссылается и поисковая система по умолчанию, указанная в настройках браузера (http://10.76.1.11/se/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&keyword=).
Браузер принимает только сертификаты, выданные в КНДР. Таким образом, внешние HTTPS-соединения легко прослушиваются местными властями, а шпионы из-за рубежа не имеют возможности для проведения MiTM-атак.
Браузер обновляется автоматически, причём эту функцию отключить невозможно. Отсутствует функция открытия файлов с локального диска, файл-менеджер ограничен в функциональности (но это можно обойти).
UserAgent браузера: “Mozilla/5.0 (X11; U; Linux i686; ko-KP; rv: 19.1br) Gecko/20130508 Fedora/1.9.1-2.5.rs3.0 NaenaraBrowser/3.5b4″.