Mozilla werkt aan een update om een beveiligingsgat te dichten dat gebruikers van de Tor-browser zou kunnen ontmaskeren. De Tor-browser draait op een aangepaste versie van Firefox. De javascript-exploit zou in staat zijn om mac-adressen, hostnamen en ip-adressen te ontfutselen.

Volgens een anonieme mededeling op de Tor-community wordt de javascript-exploit nu publiekelijk ingezet om gebruikers van de Tor-browser te ontmaskeren. "De werking is niet helemaal duidelijk, maar het krijgt toegang tot VirtualAlloc in kernel32.dll en gaat vanaf daar verder", stelt hij of zij. Het enige dat een slachtoffer hoeft te doen om getroffen te worden, is een geïnfecteerde webpagina bezoeken.

Tor-hoofd Roger Dingledine reageert op de posting door te zeggen dat Mozilla al op de hoogte is van het beveiligingsgat en werkt aan een update, maar dat hij niet overtuigd is dat de Tor-browser ook getroffen wordt. Dat moet later nog bepaald worden, volgens hem.

The Register schrijft dat de tool sterk lijkt op een andere Tor-exploit uit 2013. Beide tools maken via http verbinding met een ip-adres op poort 80 waarna ze het mac-adres, de hostnaam en het ip-adres van het doelwit doorsturen. Het ip-adres waar de gegevens heengingen, zou toebehoren aan een virtual machine bij de Franse hostingpovider OVH. De Tor-exploit uit 2013 werd ook door de FBI gebruikt om criminelen op Tor te ontmaskeren.

Of de FBI ook deze exploit heeft gebruikt bij Operation Playpen, is niet duidelijk. De FBI weigert namelijk prijs te geven met wat voor malware het precies de identiteiten van duizenden kinderporno-verspreidende Tor-gebruikers heeft weten te achterhalen. De twee methodes hebben wel gemeen dat ze tot op heden ongepatcht zijn en Tor-gebruikers hun ip-adres ontfutselen.

Bron: Tweakers.net