Facebook gab 0-Day-Lücke im anonymisierenden Betriebssystem Tails an FBI weiter

Um einem Sexualstraftäter auf Facebook auf die Spur zu kommen, umging das Unternehmen den üblichen Disclosure-Prozess einer Tails-Lücke. Die Verhaftung gelang.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 163 Beiträge

(Bild: FOTOKITA/Shutterstock.com)

Von

Facebook soll im Jahr 2017 einem IT-Sicherheitsunternehmen einen sechsstelligen US-Dollar-Betrag gezahlt haben, um einen Zero-Day-Exploit im anonymisierenden Live-Betriebssystem Tails zu entwickeln. Ziel war es offenbar, die Identität eines Sexualstraftäters zu enttarnen, der bis Mitte 2017 via Facebook mehrere Dutzend junger Mädchen belästigte und bedrohte. Zur Verschleierung seiner Identität nutzte er Tails.

Wie das Online-Magazin Motherboard (Vice) nun berichtete, gelang das Vorhaben: Die beauftragten Experten fanden eine Sicherheitslücke im Tails Video Player, schrieben Exploit-Code und übermittelten diesen gemäß Facebooks Anweisungen direkt an das FBI. Die Behörde startete im Juni 2017 eine Operation, in deren Zuge ein vermeintliches Opfer der Zielperson ein präpariertes Video mit dem Exploit übermittelte. So sei es gelungen, die echte IP-Adresse der Person, die sich bei Facebook unter anderem "Brian Kil" nannte, zu ermitteln und diesen letztlich auch zu verhaften.

Anfang August 2017 wurde die Anklage verkündet; im Februar 2020 bekannte sich der Verdächtigte in 41 Anklagepunkten schuldig. Laut Motherboard beinhalten diese unter anderem das Erstellen kinderpornografischen Materials, Nötigung sowie Androhung von Tod, Gewalt und Kidnapping. Nun werde das Urteil erwartet. Laut einer Pressemitteilung des Department of Justice ist mit einer Gefängnisstrafe von mindestens 15 Jahren zu rechnen.

Problematisch an dem Fall ist, dass weder Facebook (oder die beauftragte Firma) noch das FBI das Tails-Team über die entdeckte Zero-Day-Lücke informierte. Gegenüber Motherboard gab ein Sprecher des Tails-Projekts an, dass die Entwickler des anonymisierenden OS bis zum jetzigen Zeitpunkt keinerlei Kenntnis über den Fall des mutmaßlichen Straftäters gehabt hätten und auch noch immer nicht wüssten, welche Lücke im Zuge der Deanonymisierung nun genau zum Einsatz gekommen sei.

Ein solcher Verzicht auf den üblichen (Coordinated-)Disclosure-Prozess birgt das Risiko, dass potenzielle Angreifer die fragliche Lücke vor den Entwicklern entdecken. Ein Szenario, von dem gerade im Falle eines Betriebssystems, das unter anderem auch "gefährdete" Personengruppen wie politische Aktivisten, Kritiker autoritärer Regime oder Journalisten vor staatlicher Zensur, Überwachung und unbefugtem Zugriff auf sensible Daten schützen soll, eine besonders hohe Gefahr ausgeht.

Davon abgesehen ist die Tatsache, dass private Unternehmen, Regierungsbehörden und im Grunde auch beliebige andere zahlungswillige Kunden 0-Day-Exploits "kaufen" können, um diese dann nach ihrem Gutdünken zu nutzen, für sich betrachtet schon mehr als beunruhigend.

Im Fall von "Brian Kil" waren die Risiken eines solchen Missbrauchs angeblich gering. Wie Motherboard aus nicht näher genannten Quellen erfahren haben will, hielt das Facebook-Team die gewählte Vorgehensweise für angemessen, da es Kenntnis über eine bald erscheinende neue Tails-Version gehabt habe, in deren Zuge der verwundbare Code ohnehin entfernt worden sei. Somit sei klar gewesen, dass der Exploit nur innerhalb eines begrenzten Zeitraums funktionierte.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Intern sei das Vorgehen bei Facebook durchaus kontrovers diskutiert worden. Gegenüber Motherboard beteuerte ein damaliger Mitarbeiter des Unternehmens allerdings, dass er angesichts Brian Kils sehr wirkungsvollen Identitätsverschleierung und seiner Taten nicht den Eindruck hatte, dass es eine andere Möglichkeit gegeben hätte. Aus seiner Sicht hätten überhaupt keine Risiken (für andere Tails-Nutzer) bestanden. Anderen Facebook-internen Quellen zufolge sei dies der "erste und einzige" Fall gewesen, in dem Facebook Strafverfolgungsbehörden beim Hacken einer Zielperson geholfen habe.

(ovw)