Exodus Intelligence, texaská firma běžně prodávající díry v softwaru americkým vládním agenturám, tvrdí, že objevila zranitelnosti nultého dne umožňující vzdálené spuštění kódu v OS Tails – a že chce tyto zranitelnosti zveřejnit…
Pro SOOM.cz Daniel Beránek:
Zranitelnost nultého dne v OS Tails prozrazuje identitu
V operačním systému Tails byla nalezena zranitelnost nultého dne, která může být zneužita útočníky k identifikaci uživatele. To alespoň tvrdí pondělní tweet Exodus Intelligence.
Tails je live Debian, využívající směsice Toru, TrueCryptu a MAC spoofingu k anonymizaci uživatele. Nyní však Exodus Intelligence – firma hledající softwarové slabiny pro americké vládní agentury – tvrdí, že objevila v Tails několik zranitelnosti umožňující útok remote code execution. Navzdory svému byznys modelu se lidé z Exodus Intelligence rozhodli tyto informace neprodat svým klientům, ale prý je chtějí zveřejnit.
Vývojáři Tails ještě nevědí, v čem tkví deklarované zranitelnosti:
Exodus Intel nás před svým tweetem nekontaktoval. Už jsme se jim chystali něco ostřejšího napsat, když nám dali vědět, že dané chyby reportují v průběhu týdne.Zatím se zdá, že ze strany EI nejde jen o provokaci či sebepropagaci. Skupina kolem Tails své uživatele uklidňuje i varuje zároveň:Neustále vylepšujeme jádro Tails právě kvůli rizikům, jaká jsou tato. Mimo jiné pracujeme na integraci AppArmor do Tails, posílení zabezpečení kernelu i web browseru, a rozšíření možností spouštění v sandboxu…Zda a jaká jsou deklarovaná rizika Tails, se snad dozvíme již brzo.Zdroje