Tor-Nutzer über Firefox-Lücke verfolgt

Eine Sicherheitslücke in Firefox wurde anscheinend gezielt eingesetzt, um Nutzer der Anonymisierungs-Software Tor zu identifizieren. Die Spuren führen zu US-Behörden.

In Pocket speichern vorlesen Druckansicht 230 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Reiko Kaps

Ältere, zum Tor-Browser-Bundle gehörende Firefox-Browser enthalten eine Javascript-Sicherheitslücke, über die sich Code einschleusen und ausführen lässt. Doch anstatt den Windows-PC mit einem Online-Banking-Trojaner oder anderem Unrat zu infizieren, wurde diese genutzt, um Anwender möglichst eindeutig zu identifizieren, warnt das Projekt hinter der Anonymisierungs-Software Tor.

Wie die Tor-Entwickler erklären, eigne sich die Lücke prinzipiell dazu, den Computer des Nutzers komplett zu kapern. Der jetzt beobachtete Schadcode ermittelt hingegen nur den Hostnamen und die Hardware-Adresse des Opfers und sende diese Informationen anschließend über eine normale Netzwerkverbindung an einen Webserver mit der IPv4-Adresse 65.222.202.53. Das ergab eine Analyse von Vlad Tsrklevich, der den Magneto getauften Schadcode genau untersucht hat. Die Adresse gehört laut dem Dienst Domaintools der Firma Science Applications International Corporation, die das US-Magazin Wired als Technologie-Lieferant im Umfeld von FBI und US-Geheimdiensten ansiedelt.

Brisant wird dies im Zusammenhang damit, wo dieser Tracker verteilt wurde. Laut Tor-Projekt gelangte Magneto über verschiedene, vom Tor-Nutzer besuchte Tor-Hidden-Services auf den Windows-Rechner – die Angreifer sammeln also eine Liste von Tor-Nutzern. Das passt auch dazu, dass der Exploit-Code auf den Seiten über eine Browser-Weiche ganz gezielt nur Systeme mit Firefox 17 ESR angegriffen hat, das Bestandteil der Tor-Browser-Bundles ist.

Mozillas Security-Chef Daniel Veditz hat die ausgenutzte Sicherheitslücke als eine identifiziert, die Mozilla bereits am 25. Juni in den Versionen Firefox 22.0 und Firefox ESR 17.0.7 geschlossen hat. Firefox 17.0.7 ESR ist bereits in den Versionen 2.3.25-10, 2.4.15-alpha-1, 2.4.15-beta-1 und 3.0alpha2 des Tor-Browser-Bundles enthalten. Tor-Browser-Bundle-Nutzer sollten aber nicht nur die jeweils aktuelle Version der Software einsetzen, sondern auch Javascript im Browser deaktivieren.

Als weitere Maßnahmen schlagen die Entwickler vor, die eigene MAC-Adresse zufällig zu setzen, eine Firewall zu aktivieren, das Firefox-Addon RequestPolicy einzusetzen oder das auf den Tor-Einsatz ausgelegte Live-Linux Tails für den Zugriff auf das Tor-Netz zu nutzen. Außerdem erwarten die Tor-Entwickler weitere Angriffe, die nicht nur Fehler in Javascript sondern auch in CSS, SVG, XML und im Firefox-Renderer ausnutzen. Daher bitten sie um Mithilfe bei der Weiterentwicklung von Tor und dem Tor-Browser-Bundle. Insgesamt wird immer deutlicher, dass wer Tor nutzt, sehr genau wissen sollte was er tut, da er sich einem stark erhöhten Angriffsrisiko aussetzt. (rek)