Gaia Bottà

Firefox e Tor, patch per la privacy

Il bug di sicurezza attivamente sfruttato per carpire dati sugli utenti di Tor Browser è stato sistemato. L'exploit pare sia stato implementato attraverso un hidden service a sfondo pedopornografico

Roma - Sfruttando con del codice JavaScript malevolo e del codice SVG una falla nella gestione delle animazioni in Firefox, su cui Tor Browser è basato, l'exploit individuato nelle scorse ore permetteva di attentare alla privacy degli utenti del browser anonimizzatore, rilevando e comunicando a un server remoto l'indirizzo MAC del dispositivo, il nome dell'host e l'indirizzo IP. Il problema è stato prontamente risolto da Mozilla, e l'aggiornamento è stato tempestivamente implementato nel codice di Tor Browser.

Firefox 50.0.2 rimedia dunque al problema, classificato come critico, e una patch è stata applicata anche alla versione 45.5.1 di Firefox a supporto esteso, quella da cui deriva Tor browser, e a Thunderbird 45.5.1. Tor Browser si è allineato all'importante update con la versione 6.0.7: gli sviluppatori raccomandano un tempestivo aggiornamento da parte degli utenti, dato che la falla è già stata attivamente sfruttata per sistemi Windows e colpisce anche i sistemi Linux e OS X, anche se non sono emersi exploit.

Quando la notizia della falla con exploit è stata disseminata attraverso la mailing list di Tor, il pensiero degli utenti si è subito rivolto alle strategie di cracking delle agenzie investigative, date le strette analogie con la soluzione adottata nel 2013 come network investigative technique (NIT) per abbattere numerosi hidden service sulla rete di Freedom Hosting e scovare adepti di siti a sfondo pedopornografico.
La falla appena risolta, che potrebbe aver afflitto il codice di Firefox da anni, pare sia stata sfruttata su The GiftBox Exchange, un hidden service per l'appunto dedicato allo scambio di materiale pedopornografico, chiuso dagli amministratori a metà del mese di novembre.
Mozilla, dal canto suo, pur ricordando le analogie con altre NIT adottate dall'FBI, non prende posizione sulle responsabilità delle agenzie investigative nel caso specifico: al momento non esistono prove, e ottenerle per vie ufficiali è probabile si riveli complesso. "Se questo exploit è stato sviluppato e messo in opera da una agenzia governativa - scrive però Mozilla - il fatto che sia stato reso pubblico e che possa essere utilizzato da chiunque per attaccare gli utenti di Firefox è una chiara dimostrazione di come una soluzione di hacking di stato pensata per agire in maniera limitata possa diventare una minaccia per l'intero Web".

Gaia Bottà
Notizie collegate
  • AttualitàFirefox, un nuovo bug mette la privacy a rischioMozilla è già impegnata a sviluppare una patch correttiva per il baco emerso in queste ore. Un problema potenzialmente pericoloso anche sulla rete Tor e che sembra rimandare a una storia vecchia di tre anni
  • AttualitàTor, l'FBI ha carta biancaUn giudice USA stabilisce che l'agenzia investigativa federale ha tutto il diritto di compromettere i sistemi informatici di chiunque per la protezione dei cittadini. Un indirizzo IP, poi, non garantisce la privacy
  • AttualitàMozilla: l'FBI vuoti il sacco sulla falla di TorL'avvocato di uno dei sospetti del caso Playpen chiede ancora una volta di avere accesso alle tecniche di intrusione adoperate dall'FBI, e anche Mozilla vuole conoscere i dettagli per difendere la sicurezza degli utenti di Firefox
5 Commenti alla Notizia Firefox e Tor, patch per la privacy
Ordina