Tails je děravý, tvrdí Exodus Intelligence

Exodus Intelligence, texaská firma běžně prodávající díry v softwaru americkým vládním agenturám, tvrdí, že objevila zranitelnosti nultého dne umožňující vzdálené spuštění kódu v OS Tails – a že chce tyto zranitelnosti zveřejnit…

ikona OS Tails

Pro SOOM.cz Daniel Beránek:

Zranitelnost nultého dne v OS Tails prozrazuje identitu

V operačním systému Tails byla nalezena zranitelnost nultého dne, která může být zneužita útočníky k identifikaci uživatele. To alespoň tvrdí pondělní tweet Exodus Intelligence.

Tails je live Debian, využívající směsice Toru, TrueCryptu a MAC spoofingu k anonymizaci uživatele. Nyní však Exodus Intelligence – firma hledající softwarové slabiny pro americké vládní agentury – tvrdí, že objevila v Tails několik zranitelnosti umožňující útok remote code execution. Navzdory svému byznys modelu se lidé z Exodus Intelligence rozhodli tyto informace neprodat svým klientům, ale prý je chtějí zveřejnit.

Vývojáři Tails ještě nevědí, v čem tkví deklarované zranitelnosti: Exodus Intel nás před svým tweetem nekontaktoval. Už jsme se jim chystali něco ostřejšího napsat, když nám dali vědět, že dané chyby reportují v průběhu týdne. Zatím se zdá, že ze strany EI nejde jen o provokaci či sebepropagaci. Skupina kolem Tails své uživatele uklidňuje i varuje zároveň: Neustále vylepšujeme jádro Tails právě kvůli rizikům, jaká jsou tato. Mimo jiné pracujeme na integraci AppArmor do Tails, posílení zabezpečení kernelu i web browseru, a rozšíření možností spouštění v sandboxu… Zda a jaká jsou deklarovaná rizika Tails, se snad dozvíme již brzo.

Zdroje