Un forat de seguretat afecta I2P 0.9.13, que forma part de Tails 1.1 i anteriors.

Abast i gravetat

Si utilitzeu I2P a Tails 1.1 i anteriors, un atacant us pot desanonimitzar: pot conèixer l'adreça IP que us identifica a Internet.

Per poder dur a terme aquest atac:

  1. l'atacant ha de ser capaç d'afectar el contingut d'un lloc web que esteu visitant utilitzant el Navegador Tor a Tails — moltes persones poden fer-ho;

  2. i, l'atacant ha d'esbrinar com explotar aquest forat de seguretat; aquesta informació encara no s'ha publicat, però és possible que d'alguna manera ja l'hagin descobert, o se n'hagin assabentat.

Tails no inicia I2P de manera predeterminada. Aquesta decisió de disseny es va prendre precisament per protegir els usuaris de Tails que no utilitzen I2P pels forats de seguretat en aquest programari.

Tot i així, un atacant que també pogués iniciar I2P al vostre Tails, ja sigui explotant un altre forat de seguretat no revelat, o enganyant-vos perquè l'inicieu vosaltres mateixos, podria utilitzar aquest forat de seguretat per desanonimitzar-vos.

Solucions temporals

Podeu protegir-vos d'aquest forat de seguretat fins que es corregeixi.

No inicieu I2P a Tails 1.1 i anteriors. Podeu protegir-vos encara més eliminant el paquet i2p cada vegada que inicieu Tails:

  1. Establiu una contrasenya d'administració.

  2. Executeu l'ordre següent en un Terminal d'administrador:

    apt-get purge i2p

Tanmateix, si realment necessiteu utilitzar I2P a Tails 1.1: abans d'iniciar I2P, desactiveu el JavaScript globalment amb NoScript al navegador Tor.

Crèdits

Exodus Intelligence ens va informar d'aquest error de seguretat.