Medan de attacker du är för närvarande rikta Tor-användare, publicering av exploit-kod tillåter vem som helst att använda den, eventuellt sätta alla Firefox-användare är i riskzonen.
Bild: Mozilla
Användare av online anonymitet nätverket Tor står inför en ny attack som använder nästan identisk kod till ett Firefox utnyttja används av FBI under 2013.
Tor grundare Roger Dingledine säger Mozilla arbetar på en patch för Firefox för att motverka den nyfunna JavaScript utnyttja, som publicerades på Tor: s officiella hemsida som en del av en varning om att Tor-användarna är under attack nu.
Någon som använder Tor-dolda e-tjänsten Sigaint skrev om Tor: s e-postlista: “Detta är ett JavaScript utnyttja används aktivt mot TorBrowser NU. Det består av ett HTML och en CSS-fil, som båda inklistrade nedan och även de skyms.”
Medan de attacker du är för närvarande rikta Tor-användare, publicering av exploit-kod tillåter vem som helst att använda den, eventuellt sätta alla Firefox-användare i riskzonen från nya attacker. Tor Browser är baserad på en version av Firefox och de två har ofta gemensamma säkerhetsproblem.
Mozilla är att spåra fel, vilket innebär att en korrigering ska vara på väg snart. Tidiga analyser tyder på att det kräver att JavaScript är aktiverat i webbläsaren.
Säkerhet forskare och VD för TrailofBits, Dan Guido, konstaterar att macOS är också sårbara. Men, den utnyttjar för närvarande endast mål Firefox på Windows.
En forskare som går av @TheWack0lian handtag på Twitter har analyserat utnyttja och säger att det är så gott som identisk med en som FBI erkände att använda 2013 för att avslöja besökare till en mörk-web-child-abuse-webbplats som finns på Frihet Värd.
“När jag först lade märke till den gamla shellcode var så lika, jag var tvungen att dubbelkolla datum för att se till att jag inte var ute på ett tre år gammalt inlägg,” TheWack0lian skrev.
FBI: s 2013 malware var utformade för att skicka användaren värd namnet och MAC-adressen till en server som driftas på en annan IP-adress till ny attack. Enligt TheWack0lian, den nya malware samtal skicka en unik identifierare till en server på 5.39.27.226, som är tilldelad till franska ISP OVH men den adressen som för närvarande inte svara.
För vissa, detta vid anslutning till en fransk adress kastar in fråga någon misstanke om att den nya malware är kopplad till en FBI-operation.
Enligt integritet förespråkar Christopher Soghoian: “Tor skadlig kod ringer hem till en svensk IP-adress är förbryllande, men jag skulle bli förvånad att se en federal domare tillåta det.”
I en rad inlägg på Twitter, Guido kommenterade att denna bedrift är inte särskilt avancerad och skulle vara svårare att utnyttja i Chrome och Kanten på grund av att minnet partitionering, som Firefox saknar.
“Sista tankar: Tor Browser Bundle är oförmögen att skydda dem som behöver det mest. Om du förlitar dig på det, starkt ompröva dina val,” Guido skrev.