Usuários da rede de anonimato on-line Tor estão enfrentando um novo ataque que usa código quase idêntico a um exploit do Firefox usado pelo FBI em 2013.
O co-fundador do Tor, Roger Dingledine, disse que a Mozilla está trabalhando em um patch para o Firefox para combater a nova exploração do JavaScript, publicada no site oficial do Tor como parte de um aviso de que os usuários do Tor estão sendo atacados agora.
Alguém usando o serviço de e-mail Tor-escondido escreveu na lista de discussão do Tor: “Esta é uma exploração de JavaScript ativamente usada contra o TorBrowser AGORA. É composta por um HTML e um arquivo CSS, ambos colados abaixo.”
Enquanto os ataques estão sendo direcionados para usuários do Tor, a publicação do código de exploração permite que qualquer pessoa o use, potencialmente colocando todos os usuários do Firefox em risco de novos ataques. O Tor Browser é baseado em uma versão do Firefox e os dois geralmente compartilham vulnerabilidades comuns.
O Mozilla está rastreando o bug, o que significa que uma correção deve estar em andamento em breve. As primeiras análises sugerem que requer JavaScript para ser ativado no navegador.
Pesquisador de segurança e CEO da TrailofBits, Dan Guido, observa que o macOS também é vulnerável. No entanto, o exploit atualmente só tem como alvo o Firefox no Windows.
Um pesquisador escrevu no twitter, que o exploit é praticamente idêntico ao que o FBI admitiu usar em 2013 para desmascarar os visitantes de um site dark-web de abuso infantil hospedado no Freedom Hosting.
“Quando notei pela primeira vez que o antigo shellcode era tão parecido, eu tive que verificar as datas para ter certeza de que não estava olhando para um post de três anos”, escreveu TheWack0lian.
O malware do FBI para 2013 foi projetado para enviar o nome do host e o endereço MAC do usuário para um servidor hospedado em um endereço IP diferente para o novo ataque. De acordo com TheWack0lian, as novas chamadas de malware enviam um identificador exclusivo para um servidor em 5.39.27.226, que é atribuído ao francês ISP OVH, mas que o endereço atualmente não está respondendo.
Para alguns, esta ligação a um endereço francês coloca em questão qualquer suspeita de que o novo malware está ligado a uma operação do FBI.
De acordo com o defensor da privacidade, Christopher Soghoian: “O malware do Tor chamando para casa para um endereço IP francês é intrigante, mas eu ficaria surpreso ao ver um juiz federal dos EUA autorizar isso”.
Em uma série de posts no Twitter, Guido comentou que essa exploração não é particularmente sofisticada e seria mais difícil de explorar no Chrome e Edge devido ao particionamento de memória, que o Firefox não tem.
“Pensamentos finais: o Tor Browser Bundle é incapaz de proteger aqueles que mais precisam, se você confiar nisso, reconsidere suas escolhas”, escreveu Guido.
Fonte: Zdnet
