Später lesen: Schwerwiegende Backend-Lücken in Pocket nachgewiesen
Mit der App Pocket(öffnet im neuen Fenster) lassen sich Webseiten zum späteren Lesen speichern. Mozilla stellt den Firefox-Nutzern diese Funktion über eine Integration in den Browser bereit. Doch ein Sicherheitsforscher hat nun gezeigt, wie leicht die Backends des Dienstes angreifbar waren. Dazu benötigte er nur einen Browser, die App und einen Server in der Amazon-Cloud. Kritiker der Kooperation von Mozilla mit Pocket sehen sich damit erneut bestätigt, auch wenn Pocket schnell auf die gemeldeten Fehler reagiert hat.
Unerwartet leichter Zugang
Laut dem Experten(öffnet im neuen Fenster) war es möglich, an detaillierte Informationen zu den eingesetzten Servern zu gelangen, indem die URL http://127.0.0.1/server-status in die Pocket-Liste eingetragen wurde. Da der Server einer vermeintlichen Eingabe von Localhost vertraute, wurden die Ausgaben des Status-Moduls mit dem Android-Smartphone des Entwicklers synchronisiert.
Dadurch war es einfach möglich, die Version des eingesetzten Apache-Servers zu erfahren, ebenso wie Quell- und Ziel-IP-Adressen des internen Netzwerks, spezielle Parameter der derzeit verarbeiteten URLs anderer Nutzer oder auch Abfrageparameter für den Server selbst. Auf den meisten Servern sei diese Art der Ausgaben zwar abgeschaltet gewesen, auf einer kleinen Menge von Servern jedoch verfügbar geblieben.
Zugriff auf Cloud-Metadaten und /etc/passwd
Dank einfacher DNS-Abfragen war dem Forscher klar, dass Pocket die Amazon-Cloud für das Backend verwendet. Amazon bietet seinen Kunden einen Metadaten-Dienst(öffnet im neuen Fenster) , der intern ohne Authentifizierung genutzt werden kann. Bei der Eingabe der dazugehörigen URLs in Pocket erschienen die Ergebnisse wiederum auf dem Smartphone. Dies gab Aufschluss über die gesamte Cloud-Konfiguration von Pocket.
Über einen speziell manipulierten Link in der Pocket-Liste gelang es dem Forscher darüber hinaus, eine HTTP-Umleitung zu erzwingen. So wurden die Inhalte der Datei /etc/passwd(öffnet im neuen Fenster) synchronisiert, die Informationen zu Nutzern der Server enthält und Aufschluss über deren Passwörter geben kann. Letztlich zeigte auch der Prozessstatus (/proc/self/status) an, dass der Dienst mit Root-Rechten lief.
Damit hätten private SSH-Schlüssel aus den Verzeichnissen der Nutzer entwendet werden können, um sich anschließend direkt Vollzugriff auf die Infrastruktur zu verschaffen.
Diskussion um Pocket-Integration in Firefox
Die verblüffende Einfachheit des Angriffs lässt Pocket als potenziell sehr unsicher erscheinen. Das gilt dann natürlich auch für die Daten der Nutzer. So fragen sich Kommentatoren, etwa bei Hackernews(öffnet im neuen Fenster) , warum Mozilla den Dienst überhaupt in den Browser eingebaut habe, dieser gefährde schließlich die Anwender.
Auch die grundsätzliche Kritik daran, dass ein nicht freier Dienst fest in den Browser integriert wurde, wird von einigen nun wieder vorgetragen. Ob Mozilla deshalb von seinem Verhalten abrückt, bleibt aber abzuwarten und ist eher unwahrscheinlich.