Tor Browser Bundle: Sicherheitslücke in Firefox 17 gefährdet Anonymität im Tor-Netzwerk

Tor-logo-2011-flatAm Wochenende machte die Nachricht die Runde, dass Eric Eoin Marques, einer „der größten Vermittler von Kinderpornografie auf dem Planeten“ vom FBI verhaftet wurde. Marques ist Gründungsmitglied des Internet-Hosters Tor Freedom Hosting, der Webspace anbietet, welcher sich für „Hidden Services“ im Tor-Netzwerk nutzen lässt. Marques wird nun vorgeworfen, die Verbreitung von Kinderpornographie über diese „Hidden Services“ wissentlich begünstigt zu haben, da er sie verschlüssele und verschleiere. Seit Sonntag mehren sich nun die Indizien, dass das FBI nach der Verhaftung von Marques die Server von Freedom Hosting kompromittierte um eine aktive Sicherheitslücke im Tor Browser Bundle aus zu nutzten. Durch das Ausnutzen dieser Sicherheitslücke in Firefox 17, welches im aktuellen Tor Browser Bundle eingesetzte wird, ist es scheinbar möglich, die echte Internetverbindung eines Nutzers und somit auch den Nutzer an sich zu identifizieren.

„phobos“ vom Tor Project schreibt dazu im Tor Blog:

The current news indicates that someone has exploited the software behind Freedom Hosting. From what is known so far, the breach was used to configure the server in a way that it injects some sort of javascript exploit in the web pages delivered to users. This exploit is used to load a malware payload to infect user’s computers. The malware payload could be trying to exploit potential bugs in Firefox 17 ESR, on which our Tor Browser is based.


Nach ersten Erkenntnissen wurde Schadcode auf die Server von Freedom Hosting eingeschleust, welcher beim Aufruf der Server im Browser ausgeführt wurde. Ofir David, Nachrichtenchef der israelischen Internetsicherheitsfirma Cyberhat, sagte gegenüber Brian Krebs, dass die Schadsoftware überprüfe welchen Browser ein Nutzer einsetze. Sollte es sich im Firefox 17 handeln, würde der Nutzer heimlich weitergeleitet und eine sogenannte UUID würde erzeugt.

Ironically, all [the malicious code] does is perform a GET request to a new domain, which is hosted outside of the Tor network, while transferring the same UUID,” David said. “That way, whoever is running this exploit can match any Tor user to his true Internet address, and therefore track down the Tor user.

Der Sicherheitsforscher Vlad Tsrklevich hat mittlerweile mit Hilfe von Reverse-Engeneering Teile des Schadcodes konstruiert.

Er kommt zu den gleichen Ergebnissen wie Ofir David und schlussfolgert:

Because this payload does not download or execute any secondary backdoor or commands it’s very likely that this is being operated by an LEA [law enforcement agency] and not by blackhats.

Wie Dan Veditz gegenüber Brian Krebs angab, sind zur Zeit zwar alle Firefox Versionen unterhalb der Version 21 von der Sicherheitslücke betroffen. Der Schadcode auf den Servern von Freedom Hosting ziele jedoch explizit auf Version 17, wie sie im Tor Browser Bundle verwendet wird, ab:

“The vulnerability being exploited by this attack was fixed in Firefox 22 and Firefox ESR 17.0.7. The vulnerability used is MFSA 2013-53

People who are on the latest supported versions of Firefox are not at risk.

Although the vulnerability affects users of Firefox 21 and below the exploit targets only ESR-17 users. Since this attack was found on Tor hidden services presumably that is because the Tor Browser Bundle (TBB) is based on Firefox ESR-17. Users running the most recent TBB have all the fixes that were applied to Firefox ESR 17.0.7 and were also not at risk from this attack.”

Mittlerweile hat Mozilla einen Bugreport geöffnet um den Schadcode zu analysieren und die Sicherheitslücke in Firefox 17 zu schließen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

16 Ergänzungen

  1. Echt gutes Timing!

    Gerade jetzt brauchten US-Amerikanische Behörden eine Erfolgsmeldung, mit der sie ihre Abhör-Praktiken rechtfertigen können, und Schutzmaßnahmen dagegen, also TOR, verunglimpfen können.

    Also Gratulation. Euer Timing hätte nicht besser sein können!

  2. Irgendeine Möglichkeit herauszufinden, ob man betroffen ist oder nicht? Oder betrifft das ausschließlich Konsumenten „einschlägiger“ Hidden Services?

  3. @ Nicolas Fennen

    1. „The Tor Project, Inc.“ steht in KEINER Verbindung zu „Freedom Hosting“.

    2. Das aktuelle TorBrowserBundle 2.3.25-10 (mit Firefox 17.0.7) ist NICHT betroffen.

    3. Beteilige Dich bitte nicht an Desinformation und Propaganda, die darauf abzielen, Tor als Werkzeug gegen anlasslose und verfassungsfeindliche Überwachung von Unschuldigen zu diskreditieren.

    1. 1. Wo hat er das geschrieben?

      2. Das steht im Artikel

      3. Ähhhh…. Also Leute einfach unwissend lassen, bis Team Blau an der Tür klingelt?

  4. Mich würde mal interessieren, welche User genau betroffen sind, mein steinaltes TOR hatte noch ein Firefox 10.irgendwas

  5. Noch ein paar Hintergründe zu Punkt 2 von meinem Vorposter: Die verwendete Lükcke ist sowohl mit Firefox 22 als auch mit dem ESR-Release Firefox 17.0.7 geschlossen, die beide am 25. Juni erachienen sind. Das Tor-Projekt hat bereits einen Tag später auch eine neue Version des Browser-Bundles mit diesem Fix veröffentlicht.
    Dass der Exploit jetzt explizit auf Nutzer der ESR-Schiene abzielt stimmt zwar, allerdings müssen diese auch eine veraltete Version einsetzen. De facto wurde hier sowohl von Mozilla, als auch vom Tor-Projekt vorbildlich gehandelt.

    Der verlinkte Bugreport wurde auch nicht von Mozillla erföffnet, sondern von jemandem, der es auf Reddit gelesen hatte. Wie unten in Comment 25 zu lesen, hat man auch dort inzwischen gemerkt, dass das Problem in aktuellen Versionen bereits behoben ist.

  6. Wie gesagt, kann sicher gesagt werden, dass nur Nutzer von 17.0.7 betroffen sind? Und kann auch sicher gesagt werden, dass es nur Nutzer dieser entsprechenden Seiten sind?

  7. @lars nein, 17.0.7 ist eben nicht betroffen.
    auf die zweiten frage würde ich auch nein antworten.

    1. Ich meine ja auch 17.0.6., vertippt – sorry
      Also ist 10.0.1 außerhalb der Gefahr? War nichtmal eine ESR.

  8. Gibt es schon irgendwelche „Untersuchungen“ wie viele Exit-Nodes wirklich „unabhängig“ agieren?

    1. Man muss nicht immer alles von Felix übernehmen. Und wenn, dann muss man es sehr genau lesen und verstehen. Am besten zweimal. Er zeigt eigentlich ein anderes Problem auf, dass nicht direkt mit OR zu tun hat. Das „X ist tot“ ist sein Demagogensprech, mit dem er das „alles wird überwacht Problem“ deutlich machen will. Er zeigt damit aber auch eine andere Möglichkeit auf. Viel, viel schlimmer ist der Heise Artikel zu diesem Thema, der ist schon nah an FUD.

  9. Ich ärgere mich immer dass man seit Jahren nur noch TOR liest wen nes um anonymes surfen im Web geht. Dabei ist es lahm man kann nix runter oder hochladen bei dem Kbit Speed und es bietet keine Verschlüsselung an – und NUR der Browsertraffic wird anonymisiert + dass es sau lahm ist halt.

    Viel bessere Möglichkeit wäre da VPN. Die aktuellen Folien zeigen zwar dass auch diese nicht sicher sind vor dem NSA allerdings betrifft das nicht solche die eine End-to-End Verschlüsselung bietet. Ein bekannter deutscher VPN Anbieter mit Sitz in Rumänien bietet solch eine an (AES 256) der Speed ist gut und es gibt kein TrafficShaping *hust*Drosselkom*hust* Natürlich müsst ihr auch darauf achten dass nix geloggt wird aber ich kenne keinen VPN der das tut und dieser um den es geht tut dies ebenfalls NICHT. Es gab sogar schon ne Durchsuchung bzw. Beschlagnahmung der Server und da wurde nix gefunden – ist alles in deren Blog mit Dokumenten dokumentiert – nur um den Zweiflern oder den Kritikern den Wind aus den Segeln zu nehmen.

    Fangt also endlich an auf VPN umzusteigen denn damit wird alles anonymisiert & verschlüsselt was ins Internet geht nicht nur der Browserinhalt.

  10. Kann mir jemand kurz und knapp erklären, warum man eine Hidden-Seite bei Hostern wie Freedom Hosting laufen lässt? Nach meinen Informationen gibt es nur zwei bis drei Hoster für Hidden Services. Somit wäre mir die Gefahr zu groß, dass ich mit verachtenswerten Seiten auf einem Server bin. Auch so wäre mir die Gefahr zu groß, dass die Cops einfach diese handvoll Hoster unterwandern, komplett überwachen oder was weiß ich.

    Zudem gibt es ja gar keinen Grund, so einen Hoster zu verwenden. Einfach einen eigenen Server mieten und einen Webserver installieren. Fertig. Auch kann man doch einfach eine Hidden-Tor-Seite auf seinem eigenen Rechner laufen lassen. Zum Beispiel um Kumpels Zugang zu Dateien zu geben.

    Kurz und knapp: Warum gibt es überhaupt solche Hosting-Anbieter? Wer da hosted spielt doch mit dem Feuer?!

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.