Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores
Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden(öffnet im neuen Fenster) . Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.
Zu den betroffenen Seiten gehören der KDE-Store , die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.
Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.
HTML-Code-Einbindung erlaubt Cross-Site-Scripting
Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.
Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.
Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt - jede beliebige Webseite kann also hierüber Apps installieren.
Niemand beantwortet die Kontaktversuche der Sicherheitsforscher
Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.
Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome(öffnet im neuen Fenster) . Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.
Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.