Mozilla fordert von FBI Offenlegung von Firefox-Sicherheitslücke

Mozilla hat die US-Regierung aufgefordert, Details zu einer Sicherheitslücke herauszugeben, die das FBI offenbar benutzt hat, um einen Online-Verbrecher zu fassen. Konkret geht es dem Unternehmen darum, alle Informationen über die Schwachstelle zu erhalten, bevor diese gegenüber Dritten offengelegt wird.

Im vergangenen Jahr hatte das FBI eine bisher unbekannte Zero-Day-Lücke im Tor-Browser – der wiederum auf Firefox basiert – benutzt, um Nutzer einer kinderpornografischen Website zu enttarnen. Zuletzt betrieben die Ermittler die Server der Website, was es ihnen ermöglichte, Ermittlungen gegen weitere Besucher einzuleiten.

„Wir ergreifen keine Partei in dem Fall, aber wir stehen auf der Seite von Hunderten Millionen Nutzern, die von einer zeitnahen Offenlegung profitieren könnten“, schreibt Denelle Dixon-Thayer, Chief Legal and Business Officer bei Mozilla, in einem Blogeintrag. „Anfälligkeiten können die Sicherheit schwächen und schließlich Nutzern schaden.“ Nur die Offenlegung der Schwachstelle erlaube es, Schaden von Nutzern abzuwenden.

Dem am Mittwoch beim zuständigen US-Gericht eingereichten Schriftsatz zufolge ist allerdings nicht klar, ob die Schwachstelle, die das FBI im Tor-Browser gefunden hat, überhaupt den Mozilla-Code betrifft. „Der Tor-Browser basiert auf unserem Firefox-Browser-Code. Einige spekulieren, die Anfälligkeit könnte in dem Teil des Firefox-Browser-Code stecken, die der Tor-Browser nutzt. Derzeit weiß niemand – uns eingeschlossen – außerhalb der Regierung, welche Anfälligkeit ausgenutzt wurde und ob sie in unserer Codebasis ist.“ In den falschen Händen könne die Schwachstelle jedoch zu „Millionen von Ransomware-Infektionen führen“.

Rechtsgrundlage für Mozillas Forderung ist der sogenannte Vulnerabilities Equities Process. Im Rahmen dieses Verfahrens prüft die US-Regierung, ob ihr bekannt gewordene Sicherheitslücken für nachrichtendienstliche Zwecke benutzt oder vertraulich gegenüber den Herstellern der betroffenen Produkte offengelegt werden sollten. Im Fall des iPhone 5C des San-Bernardino-Attentäters Syed Farook hatte das FBI entschieden, das ihr bekannt gewordene Verfahren zur Entsperrung des Geräts ohne Passwort geheim zu halten.

Apple entschloss sich jedoch, keine rechtlichen Schritte gegen die US-Regierung einzuleiten, um an die Details der Sicherheitslücke zu kommen. Nach Auskunft des FBI ist sie nur geeignet, um ältere iOS-Geräte zu knacken. Auf neuere Modelle wie iPhone 5S oder iPhone 6 kann das Verfahren nicht angewendet werden. Ob es vom FBI oder anderen Behörden inzwischen benutzt wurde, um weitere Geräte zu entsperren, ist nicht bekannt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.