Firefox e Tor, patch per la privacy
Topic
Approfondimenti
Trending
tutti

Firefox e Tor, patch per la privacy

Il bug di sicurezza attivamente sfruttato per carpire dati sugli utenti di Tor Browser è stato sistemato. L'exploit pare sia stato implementato attraverso un hidden service a sfondo pedopornografico
Business
Il bug di sicurezza attivamente sfruttato per carpire dati sugli utenti di Tor Browser è stato sistemato. L'exploit pare sia stato implementato attraverso un hidden service a sfondo pedopornografico

Sfruttando con del codice JavaScript malevolo e del codice SVG una falla nella gestione delle animazioni in Firefox, su cui Tor Browser è basato, l’exploit individuato nelle scorse ore permetteva di attentare alla privacy degli utenti del browser anonimizzatore, rilevando e comunicando a un server remoto l’indirizzo MAC del dispositivo, il nome dell’host e l’indirizzo IP. Il problema è stato prontamente risolto da Mozilla, e l’aggiornamento è stato tempestivamente implementato nel codice di Tor Browser.

Firefox 50.0.2 rimedia dunque al problema , classificato come critico, e una patch è stata applicata anche alla versione 45.5.1 di Firefox a supporto esteso, quella da cui deriva Tor browser, e a Thunderbird 45.5.1. Tor Browser si è allineato all’importante update con la versione 6.0.7 : gli sviluppatori raccomandano un tempestivo aggiornamento da parte degli utenti, dato che la falla è già stata attivamente sfruttata per sistemi Windows e colpisce anche i sistemi Linux e OS X, anche se non sono emersi exploit.

Quando la notizia della falla con exploit è stata disseminata attraverso la mailing list di Tor, il pensiero degli utenti si è subito rivolto alle strategie di cracking delle agenzie investigative, date le strette analogie con la soluzione adottata nel 2013 come network investigative technique ( NIT ) per abbattere numerosi hidden service sulla rete di Freedom Hosting e scovare adepti di siti a sfondo pedopornografico.
La falla appena risolta, che potrebbe aver afflitto il codice di Firefox da anni, pare sia stata sfruttata su The GiftBox Exchange, un hidden service per l’appunto dedicato allo scambio di materiale pedopornografico , chiuso dagli amministratori a metà del mese di novembre.

Mozilla, dal canto suo, pur ricordando le analogie con altre NIT adottate dall’FBI, non prende posizione sulle responsabilità delle agenzie investigative nel caso specifico: al momento non esistono prove, e ottenerle per vie ufficiali è probabile si riveli complesso. “Se questo exploit è stato sviluppato e messo in opera da una agenzia governativa – scrive però Mozilla – il fatto che sia stato reso pubblico e che possa essere utilizzato da chiunque per attaccare gli utenti di Firefox è una chiara dimostrazione di come una soluzione di hacking di stato pensata per agire in maniera limitata possa diventare una minaccia per l’intero Web”.

Gaia Bottà

Pubblicato il 1 dic 2016

Link copiato negli appunti

Ti potrebbe interessare

Cohere rilascia importanti update per i modelli Command R

Cohere rilascia importanti update per i modelli Command R
1X presenta NEO Beta: il robot umanoide per la casa

1X presenta NEO Beta: il robot umanoide per la casa
Ban di X e rimozione delle app dagli store in Brasile

Ban di X e rimozione delle app dagli store in Brasile
Word: arriva il riassunto automatico dei documenti con Copilot

Word: arriva il riassunto automatico dei documenti con Copilot
Cohere rilascia importanti update per i modelli Command R

Cohere rilascia importanti update per i modelli Command R
1X presenta NEO Beta: il robot umanoide per la casa

1X presenta NEO Beta: il robot umanoide per la casa
Ban di X e rimozione delle app dagli store in Brasile

Ban di X e rimozione delle app dagli store in Brasile
Word: arriva il riassunto automatico dei documenti con Copilot

Word: arriva il riassunto automatico dei documenti con Copilot
Gaia Bottà
Pubblicato il
1 dic 2016
Link copiato negli appunti