Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores

Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.

Artikel veröffentlicht am ,
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit.
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit. (Bild: Positive Security)

Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden. Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.

Stellenmarkt
  1. Data Base Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)
  2. IT-Systemspezialist (m/w/d)
    BARMER, Wuppertal
Detailsuche

Zu den betroffenen Seiten gehören der KDE-Store, die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.

Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.

HTML-Code-Einbindung erlaubt Cross-Site-Scripting

Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Ansible Fundamentals: Systemdeployment & -management
    20.-24. September 2021, online
  3. Dive-in-Workshop: Kubernetes
    17./19./24./26. August 2021, online
Weitere IT-Trainings

Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.

Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt - jede beliebige Webseite kann also hierüber Apps installieren.

Niemand beantwortet die Kontaktversuche der Sicherheitsforscher

Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome. Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.

Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Elon Musk
Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad

Elon Musk hat klargestellt, dass es für das Model S und das Model X kein normales Lenkrad mehr geben wird. Das D-förmige Lenkrad ist Pflicht.

Elon Musk: Tesla Model S bekommt ausschließlich Knight-Rider-Lenkrad
Artikel
  1. Loongson 3A5000: Chinesische Quadcore-CPU mit eigenem Befehlssatz
    Loongson 3A5000
    Chinesische Quadcore-CPU mit eigenem Befehlssatz

    50 Prozent schneller als der Vorgänger-Chip und dabei sparsamer: Der 3A5000 mit LoongArch-Technik stellt einen wichtigen Umbruch dar.

  2. Probefahrt mit EQS: Mercedes schüttelt Tesla ab, aber nicht die Klimakrise
    Probefahrt mit EQS
    Mercedes schüttelt Tesla ab, aber nicht die Klimakrise

    Der neue EQS von Mercedes-Benz widerlegt die Argumente vieler Elektroauto-Gegner. Auch die Komforttüren gefallen uns.
    Ein Bericht von Friedhelm Greis

  3. Förderprogramm: Bund will Fachkräfte für Akkuindustrie ausbilden lassen
    Förderprogramm
    Bund will Fachkräfte für Akkuindustrie ausbilden lassen

    Die Aus- und Weiterbildung für Fachleute im Bereich Akkuproduktion und -entwicklung wird mit 40 Millionen Euro aus der Staatskasse gefördert.

Wahrheitssager 23. Jun 2021 / Themenstart

KDE integriert so deren Theme Store usw. sprich ja es gibt viele Nutzer

robinx999 23. Jun 2021 / Themenstart

Wird nicht ein großteil der KDE Widgets / Themes über deren Appstore verteilt?

Kommentieren



  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • 30% Rabatt auf Amazon Warehouse • ASUS TUF VG279QM 280 Hz 306,22€ • Fractal Design Meshify C Mini 69,90€ • Acer Nitro XF243Y 165Hz OC ab 169€ • Samsung C24RG54FQR 125€ • EA-Promo bei Gamesplanet • Alternate (u. a. Fractal Design Define S2 106,89€) • Roccat Horde Aimo 49€ [Werbung]
    •  /