Os desenvolvedores do Tails alertaram os usuários para que não usem a distribuição Tails 5 para acessar informações confidenciais.
Tails (abreviação de The Amnesic Incognito Live System) é uma distribuição Linux focada em proteger o anonimato dos usuários (por exemplo, ativistas e jornalistas) e ajudá-los a contornar a censura forçando todas as conexões de e para a Internet através da rede Tor.
Agora, os desenvolvedores do Tails alertaram os usuários para que parem de usar a distribuição Linux portátil baseada no Debian até o próximo lançamento se estiverem entrando ou acessando informações confidenciais usando o aplicativo Tor Browser incluído.
Não usem a distribuição Tails 5 para acessar informações confidenciais
Sim. Os desenvolvedores do Tails alertaram os usuários para que não usem a distribuição Tails 5 para acessar informações confidenciais. No alerta, eles disseram o seguinte:
“Recomendamos que você pare de usar o Tails até o lançamento do 5.1 (31 de maio) se você usar o Tor Browser para informações confidenciais (senhas, mensagens privadas, informações pessoais, etc.).”
Este aviso foi solicitado por dois bugs críticos de zero-day no mecanismo JavaScript do Firefox (rastreados como CVE-2022-1802 e CVE-2022-1529), explorados durante o primeiro dia do concurso de hackers Pwn2Own 2022 Vancouver e corrigidos pela Mozilla dois dias mais tarde.
Embora os bugs já tenham sido corrigidos upstream, os desenvolvedores não podem entregar patches para nenhum dos aplicativos incluídos até o próximo lançamento, já que o Tails é uma distribuição Linux ao vivo.
As vulnerabilidades permitem que os invasores acessem informações de outros sites visitados usando o Tor Browser se explorados com sucesso.
“Por exemplo, depois que você visita um site malicioso, um invasor que controla esse site pode acessar a senha ou outras informações confidenciais que você envia para outros sites posteriormente durante a mesma sessão do Tails”, acrescenta o comunicado do Tails.
Os desenvolvedores do Tails também explicaram que as falhas não afetam os usuários do navegador Tor quando usado no nível de segurança mais seguro porque desativou automaticamente o JavaScript durante a navegação.
Da mesma forma, os usuários do Thunderbird não são afetados porque a versão fornecida com a distribuição Tails Linux tem o JavaScript desabilitado por padrão.
Além disso, os usuários do Tails que não usam ou acessam informações confidenciais por meio do navegador Tor ainda podem usá-lo com segurança, pois as falhas de segurança não quebram a criptografia e o anonimato das conexões do Tor.
“A Mozilla já está ciente dos sites que exploram essa vulnerabilidade. Essa vulnerabilidade será corrigida no Tails 5.1 (31 de maio), mas nossa equipe não tem capacidade de publicar uma versão de emergência antes”, alertou a equipe do Tails.