Mozilla corre para corrigir bug usado para atacar os usuários do navegador Tor

Usuários da rede de anonimato on-line Tor estão enfrentando um novo ataque que usa código quase idêntico a um exploit do Firefox usado pelo FBI em 2013.

O co-fundador do Tor, Roger Dingledine, disse que a Mozilla está trabalhando em um patch para o Firefox para combater a nova exploração do JavaScript, publicada no site oficial do Tor como parte de um aviso de que os usuários do Tor estão sendo atacados agora.

Alguém usando o serviço de e-mail Tor-escondido escreveu na lista de discussão do Tor: “Esta é uma exploração de JavaScript ativamente usada contra o TorBrowser AGORA. É composta por um HTML e um arquivo CSS, ambos colados abaixo.”

Enquanto os ataques estão sendo direcionados para usuários do Tor, a publicação do código de exploração permite que qualquer pessoa o use, potencialmente colocando todos os usuários do Firefox em risco de novos ataques. O Tor Browser é baseado em uma versão do Firefox e os dois geralmente compartilham vulnerabilidades comuns.

O Mozilla está rastreando o bug, o que significa que uma correção deve estar em andamento em breve. As primeiras análises sugerem que requer JavaScript para ser ativado no navegador.

Pesquisador de segurança e CEO da TrailofBits, Dan Guido, observa que o macOS também é vulnerável. No entanto, o exploit atualmente só tem como alvo o Firefox no Windows.

Um pesquisador escrevu no twitter, que o exploit é praticamente idêntico ao que o FBI admitiu usar em 2013 para desmascarar os visitantes de um site dark-web de abuso infantil hospedado no Freedom Hosting.

“Quando notei pela primeira vez que o antigo shellcode era tão parecido, eu tive que verificar as datas para ter certeza de que não estava olhando para um post de três anos”, escreveu TheWack0lian.

O malware do FBI para 2013 foi projetado para enviar o nome do host e o endereço MAC do usuário para um servidor hospedado em um endereço IP diferente para o novo ataque. De acordo com TheWack0lian, as novas chamadas de malware enviam um identificador exclusivo para um servidor em 5.39.27.226, que é atribuído ao francês ISP OVH, mas que o endereço atualmente não está respondendo.

Para alguns, esta ligação a um endereço francês coloca em questão qualquer suspeita de que o novo malware está ligado a uma operação do FBI.

De acordo com o defensor da privacidade, Christopher Soghoian: “O malware do Tor chamando para casa para um endereço IP francês é intrigante, mas eu ficaria surpreso ao ver um juiz federal dos EUA autorizar isso”.

Em uma série de posts no Twitter, Guido comentou que essa exploração não é particularmente sofisticada e seria mais difícil de explorar no Chrome e Edge devido ao particionamento de memória, que o Firefox não tem.

“Pensamentos finais: o Tor Browser Bundle é incapaz de proteger aqueles que mais precisam, se você confiar nisso, reconsidere suas escolhas”, escreveu Guido.

Fonte: Zdnet