Mozilla wil regelmatige controle op backdoors in Firefox
Om gebruikers tegen geheime diensten te beschermen wil Mozilla dat Firefox regelmatig op backdoors wordt gecontroleerd. Volgens de opensource-ontwikkelaar wordt het steeds lastiger om de privacy van software en diensten te vertrouwen die internetgebruikers gebruiken.
Dat komt met name door het werk van inlichtingendiensten, die van allerlei wetten gebruik maken waardoor er nauwelijks gerechtelijk toezicht is en er al helemaal geen ruimte voor publieke controle wordt gelaten, stelt Andreas Gal, Mozilla's vicepresident mobile en research & development. Hoe graag bedrijven ook de privacy van hun gebruikers zouden willen beschermen, aan het eind van de dag moeten ze aan de wet voldoen.
Dit geldt met name voor browsers, aangezien alle grote browsers worden aangeboden door een organisatie die onder surveillancewetgeving valt. Daardoor kunnen gebruikers softwareontwikkelaars niet meer blind vertrouwen, merkt Gal op. Mozilla heeft echter een voordeel ten opzichte van Microsoft, Google en Apple, en dat is dat de broncode van Firefox volledig opensource is.
Controleren
Om ervoor te zorgen dat inlichtingendiensten geen backdoor aan Firefox kunnen toevoegen roept Mozilla onderzoekers en organisaties op om de broncode en de software die aan de hand hiervan wordt gemaakt regelmatig te controleren. Hiervoor zouden er geautomatiseerde systemen moeten komen die deze 'builds' controleren. Daarnaast moet, als de gecontroleerde bits blijken af te wijken van de officiële bits, er alarm worden geslagen.
"Door internationale samenwerking van onafhankelijke partijen kunnen we gebruikers het vertrouwen geven dat Firefox niet kan worden aangepast zonder dat de wereld dit merkt, en een browser kunnen aanbieden die de privacyverwachtingen van gebruikers waar maakt", aldus Gal.
Het aanpassen van de Firefox code is weliswaar een mogelijkheid.
Een mogelijk eenvoudiger optie en wellicht groter gevaar is het compromitteren van addons.
Voor het wijzigen van je Firefox programma heb je waarschijnlijk admin rechten nodig.
Je addons (en trouwens ook je Firefox voorkeuren ; prefs.js) zijn echter lokaal opgeslagen wat nog eens de extra mogelijkheid openlaat voor manipulatie door infectie van het locale account van een (standaard) user.
Addons hebben eveneens een enorm bereik (afhankelijk van de populariteit ervan), als je de inhoud van een xpi-file eens bekijkt zie je dat daar enorm veel code in kan zitten en er misschien voldoende (?) plek is daar wat in te veranderen.
Open bijvoorbeeld maar eens het xpi-file van bijvoorbeeld Ghostery.
Ik probeerde pas uit te vinden waar de voorkeur-rules van Ghostery zich eigenlijk bevinden. Ter controle op een instelling; "Enable GhostRank". Die had ik afgevinkt.
Uit nieuwsgierigheid wilde ik eens controleren waar die instelling opgeslagen is en of het overeenkomt met de instelling die ik heb aangegeven, namelijk uit (dus niet 'toevallig' wel ingeschakeld).
Ik kon het niet vinden helaas, niet in de about:config van Firefox en niet in de reusachtige hoeveelheid files die in de xpi besloten zitten.
Wat ik wel vond was een met humor geschreven EULA, dat zie je niet vaak! Ha!
Het lijkt me dan ook een goed idee om de controle op backdoors mee te nemen voor (populaire) addons en adviezen op te stellen die gebruikers in staat stellen te controleren of de voorkeuren die je in controle panels hebt aangegeven daadwerkelijk overeenkomen met de uitvoercode.
Vertrouwen is een goede zaak, de mogelijkheid controle te kunnen uitvoeren ook.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.