14 Reaktionen

Mozilla verlangt Offenlegung einer Sicherheitslücke vom FBI

Geschätzte Lesedauer:

Mozilla hat sich in ein Gerichtsverfahren in den USA eingeschaltet und verlangt die Offenlegung einer Sicherheitslücke durch das FBI. Dieses hatte eine Schwachstelle im Tor-Browser ausgenutzt. Mozilla sieht seine Firefox-Nutzer gefährdet, weil nicht einmal Mozilla die Sicherheitslücke kennt.

Das FBI hatte im Rahmen seiner Ermittlungen gegen eine Kinderpornografie-Börse eine Schwachstelle im Tor-Browser ausgenutzt und Spionage-Software installiert, um Verdächtige so schließlich zu überführen (das so erlangte Beweismaterial wurde mangels korrektem Durchsuchungsbeschluss übrigens abgelehnt). Mozilla versucht nun per Gericht eine Offenlegung der Sicherheitslücke zu erlangen, wie Denelle Dixon-Thayer, Chief Legal and Business Officer bei Mozilla, bekannt gegeben hat. Ein entsprechender 54-seitiger Antrag wurde eingereicht.

Der Tor-Browser basiert auf Firefox von Mozilla. Nicht einmal Mozilla weiß, ob die ausgenutzte Sicherheitslücke im Mozilla-Code steckt und damit, ob auch die knapp 500 Millionen Firefox-Nutzer von der Schwachstelle betroffen sind. Eben jenes bereitet Mozilla Sorge: Sollte der Exploit in die falschen Hände geraten, könnten Millionen von Anwendern mit sogenannter Ransomware infiziert werden. Nach Ansicht von Mozilla sollte Mozilla als Hersteller des Browsers von der Sicherheitslücke erfahren, um diese letztlich schließen zu können, falls sie sich im Mozilla-Code befindet. Derzeit handelt es sich dabei aber um ein Wissen, welches die US-Behörde exklusiv für sich beansprucht.

Update 19.05.2016
Reuters: Mozilla bid to intervene in U.S. child porn case rejected
Unabhängige Berichterstattung unterstützen.

Unterstütze wirklich unabhängige und Fakten-basierte Berichterstattung zu Mozilla, welche nicht das Ziel hat, Schlagzeilen zu produzieren, sondern objektiv zu informieren.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.

14 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Christian T.
    schrieb am :

    mal sehen, ob Mozilla damit durchkommt, ich denke wahrscheinlich ehr nicht, da das FBI versuchen wird das zu begründen, das es mit der nationalen Sicherheit zu tun hat, und so haben die wenn, es wirklich ein Bug im Tor Browser ist immer wieder Zugriff auf.

    Mozilla sollte sicherhietshalber selber ohne den Fehler suchen und den Fehler beheben wenn es wirklich, der Fehler im Code des Browsers liegt.

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Mozilla kann nur beheben, was ihnen bekannt ist. Und wie im Artikel ja steht, ist es Mozilla nicht bekannt. Die Suche nach der Nadel im Heuhaufen ist praktisch unmöglich.

  3. sandy
    schrieb am :

    Was sollte man als Nutzer aus Ihrer Sicht nun tun?

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Als Nutzer kann man nichts tun außer sich an Gesetze zu halten und damit keinen Grund zu liefern, von Behörden verfolgt zu werden. 😉

    Mozilla behebt genauso wie jeder andere Browserhersteller alle bekannten Sicherheitslücken. Wenn das FBI von einer Sicherheitslücke im Tor-Browser (und damit vielleicht auch in Firefox) weiß, heißt das vor allem nicht, dass denen (oder auch anderen Sicherheitsbehörden in anderen Ländern) nicht auch Schwachstellen in anderen Browsern bekannt wären. Diese Möglichkeit besteht immer und leider haben diese Behörden naturbedingt wenig Interesse daran, dass solche Schwachstellen behoben werden, da die Behörden ja selbst Schwachstellen ausnutzen und das nicht immer legal.

  5. sandy
    schrieb am :

    Werden Sie denn auch weiterhin mit dem Mozilla-Browser surfen, oder denken Sie, dass man sich da jetzt erstmal eine Alternative suchen muss? Ganz lieben Dank für Ihre Antwort! 🙂

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wie gesagt: andere Browser können genauso Schwachstellen haben, welche nur irgendwelchen Behörden oder Kriminiellen bekannt sind, davor gibt es keine Sicherheit. Und damit gibt es auch keinen Grund, den Browser zu wechseln. Firefox gilt als sehr sicherer Browser. Wenn Mozilla Schwachstellen bekannt werden, werden sie immer sehr zeitnah behoben. Und Schwachstellen haben sowieso alle Browser. Ob man nun Firefox nimmt, oder Chrome, oder den Internet Explorer, mit jedem größeren Update werden in jedem Browser auch Sicherheitslücken behoben. 😉

    Mozilla ist da sehr transparent:

    https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/

  7. sandy
    schrieb am :

    Vielen lieben Dank! 🙂

    Ich wünsche Ihnen schöne Pfingsten! 🙂

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Danke, ebenso! 🙂

  9. Christian T
    schrieb am :

    da tappt Mozilla ein wenig im Dunkeln, obwohl Pornseiten nicht gerade sicher sind,

    da gibt es neben dem Inhalt oft auch noch Werbung, irgendwie man man das ja finanzieren, und die Drittanbieterwerbung ist nicht immer ganz hasenrein, und wenn es Flashwerbung ist, dann wäre nicht der Firefox das Problem. Der Flashplayer ist ja bekannt für seine Bugs, und man sollte man immer vorsichtig sein.

  10. Jannis
    schrieb am :

    Wahrscheinlich kann das FBI durch solche Sicherheitslücken ziemlich leicht nachweisen, dass sich Dateien mit Kinderpornografie auf dem Rechner des Angeklagten befinden. Bei einer Wohnungsdurchsuchung hat der Täter den Computer vielleicht bereits an einen anderen Ort verschafft oder die Festplatte verschlüsselt.

    Ich denke mal wer für Downloads einen extra Server verwendet und dafür nur die Links überträgt steht deutlich besser da, oder eine Sandbox für Firefox, aus der die Dateien nach dem Download verschoben werden. Außerdem verhindert man so, dass durch Sicherheitslücken an persönliche Daten gelangt werden kann.  Wer noch nicht mal der Sandbox-Software vertraut kann natürlich auch Firefox mit einem eigenen Benutzer ausführen.

  11. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Wahrscheinlich kann das FBI durch solche Sicherheitslücken ziemlich leicht nachweisen, dass sich Dateien mit Kinderpornografie auf dem Rechner des Angeklagten befinden. Bei einer Wohnungsdurchsuchung hat der Täter den Computer vielleicht bereits an einen anderen Ort verschafft oder die Festplatte verschlüsselt.

    Das ist zwar richtig, dennoch war der Nachweis in diesem Fall illegal, das Beweismaterial und die ganze Aktion damit vollkommen wertlos. 😉

    Das Problem an der Sache ist aber nicht konkret dieses Verfahren, sondern dass grundsätzlich jeder Sicherheitslücken ausnutzen kann. Wenn es eine Sicherheitslücke gibt, steht diese auch Kriminellen zur Verfügung, welche wie das FBI fremde Geräte mit Schadsoftware infizieren können – genau das hat das FBI nämlich gemacht. Die Existenz einer Sicherheitslücke gefährdet sehr viele Menschen mehr als dadurch geschützt werden.

    Wer noch nicht mal der Sandbox-Software vertraut kann natürlich auch Firefox mit einem eigenen Benutzer ausführen.

    Dass Benutzer-Accounts ausschließlich ohne Administrator-Rechte genutzt werden, ist dabei aber das Mindeste was man tun muss, um halbwegs Sicherheit zu gewährleisten. Mit einem Admin-Account surft man außerdem nicht im Web, das ist gerade in der Windows-Welt vielen unbekannt, dass das ein No-Go ist. Das erscheint mir eine wichtige Ergänzung, denn ansonsten sind unterschiedliche Accounts auch nur mehr Schein als Sein. 😉

  12. Jannis
    schrieb am :

    Danke für die umfangreiche Ergänzung.

    Bei Windows bin ich mir eh sicher dass eine Backdoor für Geheimdienste existiert, daher habe ich mich eher auf Linux bezogen 🙂

  13. Felix
    schrieb am :

    Die Macht von FBI, NSA und co. ist wirklich beängstigend. Das FBI hat sicherlich für solche Aktionen ein riesen Team, welches dauernd nach solchen Lücken forscht. Es gibt bestimmt einige solcher Lücken, auf die zur Not zurückgegriffen werden kann. Ist zwar alles nur Spekulation, jedoch eine einzige Backdoor zu kennen , sie dann so zu verschwenden und der Öffentlichkeit zu zeigen, wäre ziemlich dumm.

    Das einzige was ich mich Frage: Was soll der Blödsinn?
    Ohne Durchsuchungsbeschluss solche Aktionen durchführen, mit Macht protzen und dann nichts damit erreichen. Langeweile?
    Das erinnert mich an die Geschichte mit Megaupload. War genau so ein Fail. Jetzt gibts MEGA, das Problem ist dadurch nur grösser geworden.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen