Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores

Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.

Artikel veröffentlicht am ,
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit.
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit. (Bild: Positive Security)

Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden. Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.

Stellenmarkt
  1. Leiter (m/w/d) IT
    FRÄNKISCHE Rohrwerke Gebr. Kirchner GmbH & Co. KG, Königsberg
  2. Informatiker/in, Informationstechniker/in, Elektrotechniker/in (w/m/d)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Oberpfaffenhofen bei München
Detailsuche

Zu den betroffenen Seiten gehören der KDE-Store, die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.

Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.

HTML-Code-Einbindung erlaubt Cross-Site-Scripting

Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Ansible Fundamentals: Systemdeployment & -management
    20.-24. September 2021, online
  3. Dive-in-Workshop: Kubernetes
    17./19./24./26. August 2021, online
Weitere IT-Trainings

Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.

Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt - jede beliebige Webseite kann also hierüber Apps installieren.

Niemand beantwortet die Kontaktversuche der Sicherheitsforscher

Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome. Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.

Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
DSGVO
Amazon bekommt 746 Millionen Euro Datenschutz-Strafe

Die Strafe gegen Amazon ist die wohl größte jemals von einer europäischen Datenschutzbehörde verhängte Summe. Die Kläger freuen sich.

DSGVO: Amazon bekommt 746 Millionen Euro Datenschutz-Strafe
Artikel
  1. Blue Origin: Bezos-Beschwerde zu Mondlandefähre abgelehnt
    Blue Origin
    Bezos-Beschwerde zu Mondlandefähre abgelehnt

    Damit Blue Origin doch noch den Auftrag für eine Mondlandefähre bekommt, hat Jeff Bezos Geld geboten und sich offiziell beschwert. Es half nichts.

  2. Black Widow: Scarlett Johansson verklagt Disney
    Black Widow
    Scarlett Johansson verklagt Disney

    Scarlett Johansson hat wegen des Veröffentlichungsmodells von Black Widow Klage eingereicht. Disney nennt das Verhalten "herzlos".

  3. Luftsicherheit: Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint
    Luftsicherheit
    Wenn plötzlich das Foto einer Waffe auf dem iPhone erscheint

    Ein Jugendlicher hat ein Foto einer Waffe per Apples Airdrop an mehrere Flugpassagiere gesendet. Das Flugzeug wurde daraufhin evakuiert.

Wahrheitssager 23. Jun 2021 / Themenstart

KDE integriert so deren Theme Store usw. sprich ja es gibt viele Nutzer

robinx999 23. Jun 2021 / Themenstart

Wird nicht ein großteil der KDE Widgets / Themes über deren Appstore verteilt?

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Viewsonic XG270QG (WQHD, 165 Hz) 549,99€ • Mega-Marken-Sparen bei MediaMarkt (u. a. Razer) • Saturn: 1 Produkt zahlen, 2 erhalten • Gigabyte X570 AORUS Master 278,98€ + 30€ Cashback • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • MMOGA (u. a. Fallout 4 GOTY 9,99€) [Werbung]
    •  /