LINUX.ORG.RU

При изучении Tails 1.1 была обнаружена уязвимость в I2P

 , , ,


0

4

Фирма Exodus Intelligence обнаружила уязвимость I2P при проверке популярного дистрибутива Tails. Была показана презентация и методы, позволяющие полностью деанонимизировать пользователя.

Суть уязвимости состоит в XSS-атаке через eepsite, заставляющей браузер пользователя скачать в консоль маршрутизатора вредоносный плагин:

«In a 3-step process, the XSS is stored client-side, the console is loaded to inject the code and the injected code then passes and loads the signed plugin through I2P's plugin framework. In doing so, remote code execution is achieved on the target system. A simple Python web server implementing this flow is provided along with scripts and code for compiling a Java based proof-of-concept payload.»

После чего, видимо, можно получить истинный IP-адрес пользователя.

Лечение данной уязвимости довольно простое - поставить NoScript. Разработчики I2P разбираются и готовят патч для устранения данной уязвимости.

>>> Подробности

anonymous

Проверено: fallout4all ()
Последнее исправление: fallout4all (всего исправлений: 1)

Всё-таки, лучше старых дедовских способов анонимизации пока что ничего не придумали...я про подключения через wi-fi/3g у макдональдсов и прочих забегаловок с устройств, которые после 1-2 дневной работы (а то и сразу, если нужна абсолютная анонимность) будут уничтожены: иди вычисляй, где этот хацкер, пробуй.

Desmond_Hume ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.