/TorMoil: Lücke im Tor-Browser kann Nutzer enttarnen

TorMoil: Lücke im Tor-Browser kann Nutzer enttarnen

Tor

(Bild: Wikimedia)

Mac- und Linux-Versionen des Tor-Browsers enthalten eine Schwachstelle, die unter bestimmten Umständen die echte IP-Adresse des Nutzers verrät. Ein vorläufiger Hotfix steht zum Download bereit, löst das Problem aber nicht komplett.

Die aktuellen Versionen des Tor-Browsers für Linux und macOS weisen einen Fehler auf, der die Anonymisierung aushebelt: Klickt der Nutzer auf einen Link, der mit file:// beginnt, versuchen die betroffenen Betriebssysteme offenbar die Adresse am Tor-Browser vorbei zu öffnen. Dabei kann die echte IP-Adresse des Nutzers übertragen werden und ihn so enttarnen.

Entdeckt hatte die inzwischen TorMoil (Anspielung auf Englisch turmoil: Aufruhr) genannte Lücke Filippo Cavallarin, Chef der Sicherheitsfirma We Are Segment, bereits am 26. Oktober. In einem Blog-Post erklärt die Firma, das Problem entstehe dadurch, wie der Firefox-Browser diese Art Links öffnet. Unter Windows tritt die Schwachstelle nicht auf, auch Nutzer, die Tails verwenden oder den Tor Browser in einer Sandbox einsetzen, sind laut Tor nicht betroffen.

Zwar habe man schon am Dienstag, dem 31. Oktober einen Hotfix erarbeitet, der die Schwachstelle beseitigt. Allerdings steht die um diesen Fix ergänzte Version 7.0.9 des Browsers aus dem Stable-Zweig erst seit Freitag, dem 3. November für Linux und macOS zum Download bereit. Das Tor-Team empfiehlt Nutzern dringend, diese Version umgehend zu installieren. Dies gilt ausdrücklich auch für Anwender, die Builds aus dem Alpha-Zweig einsetzen, für den es aktuell keinen Hotfix gibt. Eine überarbeitete Alpha-Version für macOS und Linux soll voraussichtlich am Montag, dem 6. November, für macOS und Linux veröffentlicht werden.

Allerdings hat der aktuelle Fix eine Nebenwirkung: Ein Klick auf URLs, die mit file:// beginnen, funktionieren mit dieser Version nicht – selbst wenn man sie in einem neuen Fenster öffnet. Stattdessen solle man die Adresse direkt in die Adressleiste ziehen.

Laut Tor gibt es derzeit keine Hinweise darauf, dass die Schwachstelle ausgenutzt wird. Allerdings ist fraglich, ob sich dies überhaupt prüfen ließe – weder Strafverfolgungsbehörden noch Kriminelle würden sich wohl dazu äußern und ob Betroffene sich zu Wort melden, ist ebenfalls fraglich. Zumal sie es überhaupt merken müssten.


(bkr)