Mozilla wil regelmatige controle op backdoors in Firefox
Om gebruikers tegen geheime diensten te beschermen wil Mozilla dat Firefox regelmatig op backdoors wordt gecontroleerd. Volgens de opensource-ontwikkelaar wordt het steeds lastiger om de privacy van software en diensten te vertrouwen die internetgebruikers gebruiken.
Dat komt met name door het werk van inlichtingendiensten, die van allerlei wetten gebruik maken waardoor er nauwelijks gerechtelijk toezicht is en er al helemaal geen ruimte voor publieke controle wordt gelaten, stelt Andreas Gal, Mozilla's vicepresident mobile en research & development. Hoe graag bedrijven ook de privacy van hun gebruikers zouden willen beschermen, aan het eind van de dag moeten ze aan de wet voldoen.
Dit geldt met name voor browsers, aangezien alle grote browsers worden aangeboden door een organisatie die onder surveillancewetgeving valt. Daardoor kunnen gebruikers softwareontwikkelaars niet meer blind vertrouwen, merkt Gal op. Mozilla heeft echter een voordeel ten opzichte van Microsoft, Google en Apple, en dat is dat de broncode van Firefox volledig opensource is.
Controleren
Om ervoor te zorgen dat inlichtingendiensten geen backdoor aan Firefox kunnen toevoegen roept Mozilla onderzoekers en organisaties op om de broncode en de software die aan de hand hiervan wordt gemaakt regelmatig te controleren. Hiervoor zouden er geautomatiseerde systemen moeten komen die deze 'builds' controleren. Daarnaast moet, als de gecontroleerde bits blijken af te wijken van de officiële bits, er alarm worden geslagen.
"Door internationale samenwerking van onafhankelijke partijen kunnen we gebruikers het vertrouwen geven dat Firefox niet kan worden aangepast zonder dat de wereld dit merkt, en een browser kunnen aanbieden die de privacyverwachtingen van gebruikers waar maakt", aldus Gal.
Het aanpassen van de Firefox code is weliswaar een mogelijkheid.
Een mogelijk eenvoudiger optie en wellicht groter gevaar is het compromitteren van addons.
Voor het wijzigen van je Firefox programma heb je waarschijnlijk admin rechten nodig.
Je addons (en trouwens ook je Firefox voorkeuren ; prefs.js) zijn echter lokaal opgeslagen wat nog eens de extra mogelijkheid openlaat voor manipulatie door infectie van het locale account van een (standaard) user.
Addons hebben eveneens een enorm bereik (afhankelijk van de populariteit ervan), als je de inhoud van een xpi-file eens bekijkt zie je dat daar enorm veel code in kan zitten en er misschien voldoende (?) plek is daar wat in te veranderen.
Open bijvoorbeeld maar eens het xpi-file van bijvoorbeeld Ghostery.
Ik probeerde pas uit te vinden waar de voorkeur-rules van Ghostery zich eigenlijk bevinden. Ter controle op een instelling; "Enable GhostRank". Die had ik afgevinkt.
Uit nieuwsgierigheid wilde ik eens controleren waar die instelling opgeslagen is en of het overeenkomt met de instelling die ik heb aangegeven, namelijk uit (dus niet 'toevallig' wel ingeschakeld).
Ik kon het niet vinden helaas, niet in de about:config van Firefox en niet in de reusachtige hoeveelheid files die in de xpi besloten zitten.
Wat ik wel vond was een met humor geschreven EULA, dat zie je niet vaak! Ha!
Het lijkt me dan ook een goed idee om de controle op backdoors mee te nemen voor (populaire) addons en adviezen op te stellen die gebruikers in staat stellen te controleren of de voorkeuren die je in controle panels hebt aangegeven daadwerkelijk overeenkomen met de uitvoercode.
Vertrouwen is een goede zaak, de mogelijkheid controle te kunnen uitvoeren ook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
