Het Amerikaanse beveiligingsbedrijf Exodus Intelligence heeft na een eerdere aankondiging een video online gezet waarin het een aanval op het privacy-besturingssysteem Tails demonstreert. Met de demonstratie wil het bedrijf Tails-gebruikers waarschuwen dat geen enkele software onfeilbaar is.

Gebruikers moeten Tails dan ook niet volledig vertrouwen, aldus het bedrijf. Tails is een compleet besturingssysteem dat vanaf een cd, dvd of USB-stick is te gebruiken. Het is op Debian gebaseerd en bevat allerlei tools om anoniem te kunnen internetten. Zo zijn standaard programma's als Tor Browser en de chatclient Pidgin aanwezig en voorzien van benodigde plug-ins en verschillende encryptietools.

Kwetsbaarheid

De aandacht voor Tails groeide doordat klokkenluider Edward Snowden het besturingssysteem adviseerde. Exodus Intelligence stelt dat het een zero day-kwetsbaarheid heeft ontdekt die zelfs in de meest recente versie, Tails 1.1, aanwezig is en het mogelijk maakt om gebruikers te identificeren. Het probleem zou zich in I2P bevinden. I2P staat voor Invisible Internet Project (I2P) en is een netwerklaag waardoor applicaties berichten veilig en pseudo-anoniem met elkaar kunnen uitwisselen.

Tails maakt sinds versie 0.7 gebruik van I2P. De aanval werkt volgens Exodus Intelligence tegen de meest recente versie en vereist geen aparte instellingen. De kwetsbaarheid die werd ontdekt maakt het mogelijk om op afstand code op het systeem van een Tails-gebruiker uit te voeren en zo zijn publieke IP-adres te achterhalen. Technische details geeft de IT-beveiliger in een volgende blogposting, maar deze video is inmiddels al online gezet, die laat zien hoe het IP-adres van een Tails-gebruiker wordt achterhaald als hij een I2P-adres opvraagt.

Het beveiligingsbedrijf kreeg de nodige kritiek om het details over de kwetsbaarheid niet had gedeeld met de betrokken partijen. Inmiddels zouden zowel de ontwikkelaars van Tails als het I2P-team over alle benodigde gegevens en aanvalscode beschikken om het probleem te kunnen oplossen.