Sicherheitslücke: Angreifer könnten Tor Browser 7 ausspionieren
Das NoScript-Add-on im anonymisierenden Tor Browser ist mit vergleichsweise einfach Mitteln deaktivierbar. So könnte die Identität von Nutzern aufliegen.
Der eigentlich anonymisierende Tor Browser ist im Versionsstrang 7.x für Spionage-Attacken anfällig. Das soll selbst mit der höchsten Sicherheitseinstellung im Webbrowser der Fall sein. Davor warnt das auf Zero-Day-Exploits spezialisierte Unternehmen Zerodium auf Twitter.
Bedrohte Versionen
Die Schwachstelle findet sich in der Erweiterung NoScript, die standardmäßig beim Tor Browser dabei ist. Das Add-on blockiert auf Webseiten aktive Inhalte wie Adobe Flash oder JavaScript. Aufgrund der Anfälligkeit könnten Angreifer das Add-on abschalten. NoScript soll in den älteren Ausgaben 5.0.4 bis 5.1.8.6 für die Attacke anfällig sein.
Diesen Versionsstrang pflegt der Entwickler noch für Nutzer von Firefox 52 ESR weiter – der dem Tor Browser 7.x als Unterbau dient. Nun hat er die abgesicherte Ausgabe 5.1.8.7 veröffentlicht. Die aktuellen Versionen von NoScript (10.x) für Firefox sind nach derzeitigem Kenntnisstand nicht auf diese Weise angreifbar. Auch der jüngst erschienene Tor Browser 8 soll nicht betroffen sein.
Vergleichsweise einfacher Angriff
Um die Lücke auszunutzen, muss ein Angreifer lediglich den Content-Type einer Webseite ins JSON-Format ändern ("text/html;/json"). Anschließend blockt NoScript keine aktiven Inhalte mehr und Angreifer könnten beispielsweise die IP-Adresse von Opfern auslesen. Wie einfach man NoScript über diesen Weg ausknipsen kann, zeigt ein kurzes Video.
Wer den Tor Browser nutzt, sollte zügig die aktuelle Ausgabe 8 installieren. Wer noch Firefox 52 ESR in Kombination mit NoScript nutzt, sollte auf die Version 5.1.8.7 des Add-ons aktualisieren.
Ende 2015 hat Zerodium eigenen Angaben zufolge eine Million US-Dollar an einen Hacker gezahlt, der einen Jailbreak (untethered) für Apples iOS 9.1 ausfindig gemacht hat. Chaouki Bekrar, Gründer von Zerodium, ist für seine alte Firma Vupen bekannt, die Zero-Day-Exploits unter anderem an die National Security Agency (NSA) verkauft hat. (des)