Firefox-Exploit stellt Nutzer pädophiler Angebote fest

Gestern machte die Verhaftung von Eric Eoin Marques, Gründungsmitglied und Betreiber des Providers Tor Freedom Hosting die Runde. Dem Iren wird vom FBI vorgeworfen, „der größte Vertreiber von Kinderpornographie auf dem Planeten“ zu sein. Die US-amerikanische Justiz betrieb seine Verhaftung und begehrt seine Auslieferung.

Jetzt sind Anhaltspunkte aufgetaucht, dass das FBI eine Lücke in Firefox 17.0.6 ESR für einen Javascript-Exploit genutzt hat, um an die Identitäten der Kunden dieses Netzwerks zu gelangen. Einem Blogger des Anonymisierungsnetzwerks Tor war zu Ohren gekommen, dass viele sogenannte Hidden Services plötzlich offline waren. Hidden Services sind Dienste, die nur über das Tor-Netzwerk zugänglich sind. Außerdem kursierten Gerüchte, dass ein Hosting-Service für solche Dienste kompromittiert und nicht mehr erreichbar sei.

Mittlerweile ist der Zusammenhang zwischen beiden Nachrichten belegt. Tor Freedom Hosting, das rund 50 Prozent aller Hidden Services hostete, wurde nach einem Hack lahmgelegt. Ermöglicht wurde das durch die Tatsache, dass der Tor-Browser für das Anonymisierungsnetzwerk auf Firefox 17.0.6 ESR basiert.

Das Tor-Projekt legt Wert auf die Feststellung, dass das Projekt nichts mit Tor Freedom Hosting zu tun habe, sondern die Firma lediglich ein Anbieter von vielen war, die das Tor-Netzwerk für Hidden Services nutzen. Diese Services, die jetzt in Verruf geraten, dienen primär nicht kriminellem Tun, sondern ermöglichen beispielsweise Journalisten, Kontakt mit gefährdeten Informanten und Whistleblowern aufzunehmen. Auch Dissidenten in Ländern mit repressiven Regimen nutzen das Tor-Netzwerk zur Anonymisierung. Andererseits wird auch The Silk Road als größte Plattform für den Drogenhandel im Netz als Hidden Service betrieben.

Der Angriff auf die Webseiten beim Anbieter Tor Freedom Hosting fand über eine Lücke in der Javascript-Engine von Firefox 17.0.6 LTS statt, über die dann Malware über einen Inlineframe auf die Rechner der Surfer übertragen wurde, wie Sicherheitsforscher Brian Krebs in seinem Blog schreibt. Ofir David von der israelischen Sicherheitsfirma Cyberhat betont, der einzige Schadcode des Exploits sei darauf ausgerichtet, die Identität der Nutzer der dort gehosteten pädophilen Angebote festzustellen. Aus diesem Grund vermuten Experten staatliche Stellen wie das mit Tor Freedom Hosting und dessen Betreiber befasste FBI hinter dem Angriff.

Auf Bugzilla wurde derweil der Exploit näher untersucht. Mozilla hat die Lücke mittlerweile in Firefox 22.0, Firefox ESR 17.0.7, Thunderbird 17.0.7, Thunderbird ESR 17.0.7 und SeaMonkey 2.19 behoben.