Uma falha de segurança afeta o I2P 0.9.13, que faz parte do Tails 1.1 e versões anteriores.

Escopo e gravidade

Se você estiver usando I2P no Tails 1.1 e versões anteriores, um invasor pode desanonimizar você: ele pode descobrir o endereço IP que o identifica na Internet.

Para poder conduzir este ataque:

  1. o invasor deve ser capaz de afetar o conteúdo de um site que você está visitando usando o Tor Browser no Tails — muitas pessoas são capazes de fazer isso;

  2. e o invasor deve descobrir como explorar essa falha de segurança; esta informação ainda não foi publicada, mas eles podem de alguma forma já tê-la descoberto ou tomado conhecimento dela.

Tails não inicia I2P por padrão. Este design decisão foi tomada justamente para proteger os usuários do Tails que não usam I2P de falhas de segurança neste software.

Ainda assim, um invasor que também seria capaz de iniciar o I2P no seu Tails, seja explorando outra falha de segurança não revelada, ou enganando você para iniciá-lo sozinho, poderia então usar este I2P falha de segurança para desanonimizar você.

Soluções temporárias

Você pode se proteger dessa falha de segurança até que ela seja corrigida.

Não inicie o I2P no Tails 1.1 e versões anteriores. Você pode se proteger ainda mais removendo o pacote i2p toda vez que iniciar o Tails:

  1. Definir uma senha de administração.

  2. Execute este comando em um Terminal raiz:

    apt-get purge i2p

No entanto, se você realmente precisa usar I2P no Tails 1.1: antes de iniciar o I2P, desative o JavaScript globalmente with NoScript no navegador Tor.

Créditos

Esta falha de segurança nos foi relatada pela Exodus Intelligence.