Eine Sicherheitslücke betrifft I2P 0.9.13, das Teil von Tails 1.1 und früher ist.

Umfang und Schweregrad

Wenn Sie I2P in Tails 1.1 und früher verwenden, kann ein Angreifer Sie deanonymisieren: Er kann die IP-Adresse erfahren, die Sie im Internet identifiziert.

Um diesen Angriff durchführen zu können:

  1. Der Angreifer muss in der Lage sein, den Inhalt einer Website zu beeinflussen, die Sie mit dem Tor Browser in Tails besuchen – viele Menschen können dies tun;

  2. und der Angreifer muss herausfinden, wie er diese Sicherheitslücke ausnutzen kann; diese Informationen wurden bisher nicht veröffentlicht, aber sie könnten sie möglicherweise bereits entdeckt oder davon Kenntnis erlangt haben.

Tails startet I2P nicht standardmäßig. Diese Designentscheidung wurde genau getroffen, um die Tails-Benutzer, die I2P nicht verwenden, vor Sicherheitslücken in dieser Software zu schützen.

Dennoch könnte ein Angreifer, der auch in der Lage wäre, I2P auf Ihrem Tails zu starten, sei es durch das Ausnutzen eines anderen nicht offengelegten Sicherheitsproblems oder indem er Sie dazu bringt, es selbst zu starten, diese I2P-Sicherheitslücke nutzen, um Sie zu deanonymisieren.

Vorübergehende Lösungen

Sie können sich bis zur Behebung dieser Sicherheitsanfälligkeit schützen.

Starten Sie I2P nicht in Tails 1.1 und früher. Sie können sich weiter schützen, indem Sie das Paket i2p bei jedem Start von Tails entfernen:

  1. Set an administration password.
  2. Run this command in a Root Terminal:

    apt-get purge i2p
    

Wenn Sie jedoch I2P in Tails 1.1 wirklich verwenden müssen: Deaktivieren Sie vor dem Start von I2P JavaScript global mit NoScript im Tor Browser.

Danksagungen

Dieses Sicherheitsleck wurde uns von Exodus Intelligence gemeldet.