Los delincuentes han estado explotando una vulnerabilidad 0-Day en Firefox para desenmascarar a usuarios del navegador Tor, similar a la que había explotado el FBI durante la investigación de un sitio de pornografía infantil.
El exploit 0-Day se aprovecha de un Javascript diseñado para ejecutar código de forma remota en Windows y a través de un defecto de corrupción de memoria en Firefox.El exploit fue hecho publicó por un administrador en la lista de correo Tor-Talk.
El mensaje revela que el exploit afecta a Firefox y se está utilizando contra los usuarios del navegador Tor Browser, versión re-empaquetada de Mozilla Firefox que permite conexiones a través de la red Tor, para ocultar la dirección IP pública del usuario.
"[El código] consiste en un HTML y un archivo CSS. La funcionalidad exacta se desconoce, pero permite el acceso a VirtualAlloc en kernel32.dll". Esto significa que, cuando se explota con Javascript activado en un equipo Windows, se aprovechar de una vulnerabilidad de corrupción de memoria para hacer llamadas directas a kernel32.dll, lo que permite que el código se ejecute con permisos elevados en Windows.
Los investigadores también encontraron que el exploit realiza conexiones a la IP XXX.39.27.226, un servidor remoto alojado en OVH en Francia. Este servidor ya no está respondiendo en este momento.
Aunque los investigadores aún están analizando el código, un vistazo rápido permite determinar que es muy similar al utilizado por el FBI el año 2013, para tener acceso a sitios de pornografía infantil.
Hasta el momento se cree que la vulnerabilidad afecta desde Firefox 41 hasta la versión actual 50.
Todavía no se sabe quién está detrás del Javascript. Actualiza a Firefox 50.0.2.
Fuente: The Hacker News
Esperamos ver pronto y en la calle el llamado 'Tor Phone', un nuevo teléfono que ha sido diseñado por el desarrollador de Tor Mike Perry y que se basa en Copperhead OS, una distribución de Android que viene con múltiples mejoras de seguridad. Recordemos que el equipo de seguridad de Android de Google ha aceptado muchos parches de Copperhead en su base de código de Android.
"Copperhead es también la única ROM de Android que soporta el boot verificado, lo que evita que los exploits modifiquen las particiones de arranque, sistema, recuperación y proveedor", explica Perry.
Tor Phone también usa OrWall, un firewall para Android que dirige todo el tráfico a través de la red Tor y bloquea otras conexiones, de forma similar a lo que hace la distro Tails Linux Live CD.
Además OrWall permite tener el control completo del smartphone, pudiendo elegir qué aplicación debe tener el tráfico cifrado por Tor.
De momento el prototipo actual tiene muchas "piezas" inacabadas. En el futuro, el proyecto desea añadir más soporte de dispositivos, soporte de MicroG, API de Netfilter, reducibilidad, estabilidad de Orbot, etc.
Inicialmente el modelo del hardware elegido es el Google Nexus 6P. Podéis ver el detalle del proceso de instalación del prototipo en la web de Tor Project, además o animamos a colaborar o contribuir con el proyecto:https://blog.torproject.org/blog/mission-improbable-hardening-android-security-and-privacy
