Zum Hauptinhalt Zur Navigation Zur Suche

Suche Shortcut: Strg + K
Abo testen Anmelden
Deals
Spiele & Rätsel Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores

Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.
/ Hanno Böck
6 Kommentare Auf Google folgen (öffnet im neuen Fenster)
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit. (Bild: Positive Security)
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit. Bild: Positive Security

Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden(öffnet im neuen Fenster). Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.

Zu den betroffenen Seiten gehören der KDE-Store, die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.

HTML-Code-Einbindung erlaubt Cross-Site-Scripting

Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.

Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.

Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt – jede beliebige Webseite kann also hierüber Apps installieren.

Niemand beantwortet die Kontaktversuche der Sicherheitsforscher

Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.

Anzeige

Hacking & Security: Das umfassende Hacking-Handbuch mit über 1.000 Seiten Profiwissen. 3., aktualisierte Auflage des IT-Standardwerks (Gebundene Ausgabe)

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome(öffnet im neuen Fenster). Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.

Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.

Zur Startseite 6 Kommentare

Relevante Themen

Open SourceLinuxSoftwareBetriebssystemeSecuritySicherheitslückeWissenKDE