Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores

Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.

Artikel veröffentlicht am ,
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit.
Offenbar fehlten den Entwicklern des Plingstore grundlegende Kenntnisse über IT-Sicherheit. (Bild: Positive Security)

Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden. Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.

Stellenmarkt
  1. Projektleiter*in Digitalentwicklungen (m/w/d)
    Westermann Gruppe, Braunschweig
  2. Software Entwickler (m/w/d) Backend
    Captana GmbH, Ettenheim
Detailsuche

Zu den betroffenen Seiten gehören der KDE-Store, die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.

Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.

HTML-Code-Einbindung erlaubt Cross-Site-Scripting

Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.

Golem Karrierewelt
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    12.08.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.

Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt - jede beliebige Webseite kann also hierüber Apps installieren.

Niemand beantwortet die Kontaktversuche der Sicherheitsforscher

Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome. Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.

Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Wahrheitssager 23. Jun 2021

KDE integriert so deren Theme Store usw. sprich ja es gibt viele Nutzer

robinx999 23. Jun 2021

Wird nicht ein großteil der KDE Widgets / Themes über deren Appstore verteilt?



Aktuell auf der Startseite von Golem.de
Ron Gilbert
Chefentwickler von Monkey Island sauer auf Community

"Die Leute sind gemein": Ron Gilbert, Chefentwickler von Return to Monkey Island, reagiert auf Kritik am Grafikstil des Adventures.

Ron Gilbert: Chefentwickler von Monkey Island sauer auf Community
Artikel
  1. JD Power: Elektrofahrzeughersteller haben ernste Qualitätsprobleme
    JD Power
    Elektrofahrzeughersteller haben ernste Qualitätsprobleme

    Die Neuwagenkäufer sind nach einer Befragung von JD Power bei Polestar und Tesla besonders unzufrieden mit der Qualität. Sieger ist Buick.

  2. CD Projekt Red: Ursachenforschung über Bugs in Cyberpunk 2077
    CD Projekt Red
    Ursachenforschung über Bugs in Cyberpunk 2077

    War ein Dienstleister schuld an den massiven Fehlern in Cyberpunk 2077? Darauf deutet ein umfangreicher, aber umstrittener Leak hin.

  3. Elektroauto: BMW i3 kommt in einer Schlussphasen-Edition
    Elektroauto
    BMW i3 kommt in einer Schlussphasen-Edition

    BMW hat eine Viertelmillion i3 gebaut, doch nun wird das Auto eingestellt. Zuvor gibt es eine Sonderedition.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG UltraGear 27" WQHD 165 Hz 299€ • Switch OLED günstig wie nie: 333€ • MindStar (MSI Optix 27" WQHD 165 Hz 249€, MSI RX 6700 XT 499€) • Alternate (SSDs & RAM von Kingston) • Grafikkarten zu Toppreisen • PNY RTX 3080 12GB günstig wie nie: 929€ • Top-TVs bis 53% Rabatt [Werbung]
    •  /