Sfruttando con del codice JavaScript malevolo e del codice SVG una falla nella gestione delle animazioni in Firefox, su cui Tor Browser è basato, l’exploit individuato nelle scorse ore permetteva di attentare alla privacy degli utenti del browser anonimizzatore, rilevando e comunicando a un server remoto l’indirizzo MAC del dispositivo, il nome dell’host e l’indirizzo IP. Il problema è stato prontamente risolto da Mozilla, e l’aggiornamento è stato tempestivamente implementato nel codice di Tor Browser.
Firefox 50.0.2 rimedia dunque al problema , classificato come critico, e una patch è stata applicata anche alla versione 45.5.1 di Firefox a supporto esteso, quella da cui deriva Tor browser, e a Thunderbird 45.5.1. Tor Browser si è allineato all’importante update con la versione 6.0.7 : gli sviluppatori raccomandano un tempestivo aggiornamento da parte degli utenti, dato che la falla è già stata attivamente sfruttata per sistemi Windows e colpisce anche i sistemi Linux e OS X, anche se non sono emersi exploit.
Quando la notizia della falla con exploit è stata disseminata attraverso la mailing list di Tor, il pensiero degli utenti si è subito rivolto alle strategie di cracking delle agenzie investigative, date le strette analogie con la soluzione adottata nel 2013 come network investigative technique ( NIT ) per abbattere numerosi hidden service sulla rete di Freedom Hosting e scovare adepti di siti a sfondo pedopornografico.
La falla appena risolta, che potrebbe aver afflitto il codice di Firefox da anni, pare sia stata sfruttata su The GiftBox Exchange, un hidden service per l’appunto dedicato allo scambio di materiale pedopornografico , chiuso dagli amministratori a metà del mese di novembre.
Mozilla, dal canto suo, pur ricordando le analogie con altre NIT adottate dall’FBI, non prende posizione sulle responsabilità delle agenzie investigative nel caso specifico: al momento non esistono prove, e ottenerle per vie ufficiali è probabile si riveli complesso. “Se questo exploit è stato sviluppato e messo in opera da una agenzia governativa – scrive però Mozilla – il fatto che sia stato reso pubblico e che possa essere utilizzato da chiunque per attaccare gli utenti di Firefox è una chiara dimostrazione di come una soluzione di hacking di stato pensata per agire in maniera limitata possa diventare una minaccia per l’intero Web”.
Gaia Bottà