Später lesen: Schwerwiegende Backend-Lücken in Pocket nachgewiesen

Ohne viel Aufwand hat ein Sicherheitsforscher auf die Backend-Infrastruktur von Pocket zugreifen können. Die Fehler sind zwar inzwischen behoben, dem Streit um die Aufnahme der App zum späteren Lesen in den Firefox-Browser könnte dies aber neuen Anschub geben.

Artikel veröffentlicht am ,
Der Pocket-Einbau in den Firefox-Browser ist umstritten.
Der Pocket-Einbau in den Firefox-Browser ist umstritten. (Bild: Screenshot: Golem.de)

Mit der App Pocket lassen sich Webseiten zum späteren Lesen speichern. Mozilla stellt den Firefox-Nutzern diese Funktion über eine Integration in den Browser bereit. Doch ein Sicherheitsforscher hat nun gezeigt, wie leicht die Backends des Dienstes angreifbar waren. Dazu benötigte er nur einen Browser, die App und einen Server in der Amazon-Cloud. Kritiker der Kooperation von Mozilla mit Pocket sehen sich damit erneut bestätigt, auch wenn Pocket schnell auf die gemeldeten Fehler reagiert hat.

Unerwartet leichter Zugang

Stellenmarkt
  1. DB-Programmierer*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. IT-Generalist (m/w/d)
    SaluVet GmbH, Bad Waldsee
Detailsuche

Laut dem Experten war es möglich, an detaillierte Informationen zu den eingesetzten Servern zu gelangen, indem die URL http://127.0.0.1/server-status in die Pocket-Liste eingetragen wurde. Da der Server einer vermeintlichen Eingabe von Localhost vertraute, wurden die Ausgaben des Status-Moduls mit dem Android-Smartphone des Entwicklers synchronisiert.

Dadurch war es einfach möglich, die Version des eingesetzten Apache-Servers zu erfahren, ebenso wie Quell- und Ziel-IP-Adressen des internen Netzwerks, spezielle Parameter der derzeit verarbeiteten URLs anderer Nutzer oder auch Abfrageparameter für den Server selbst. Auf den meisten Servern sei diese Art der Ausgaben zwar abgeschaltet gewesen, auf einer kleinen Menge von Servern jedoch verfügbar geblieben.

Zugriff auf Cloud-Metadaten und /etc/passwd

Dank einfacher DNS-Abfragen war dem Forscher klar, dass Pocket die Amazon-Cloud für das Backend verwendet. Amazon bietet seinen Kunden einen Metadaten-Dienst, der intern ohne Authentifizierung genutzt werden kann. Bei der Eingabe der dazugehörigen URLs in Pocket erschienen die Ergebnisse wiederum auf dem Smartphone. Dies gab Aufschluss über die gesamte Cloud-Konfiguration von Pocket.

Golem Akademie
  1. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22.–23. März 2022, Virtuell
  2. Apache Kafka Grundlagen: virtueller Zwei-Tage-Workshop
    21.–22. März 2022, Virtuell
Weitere IT-Trainings

Über einen speziell manipulierten Link in der Pocket-Liste gelang es dem Forscher darüber hinaus, eine HTTP-Umleitung zu erzwingen. So wurden die Inhalte der Datei /etc/passwd synchronisiert, die Informationen zu Nutzern der Server enthält und Aufschluss über deren Passwörter geben kann. Letztlich zeigte auch der Prozessstatus (/proc/self/status) an, dass der Dienst mit Root-Rechten lief.

Damit hätten private SSH-Schlüssel aus den Verzeichnissen der Nutzer entwendet werden können, um sich anschließend direkt Vollzugriff auf die Infrastruktur zu verschaffen.

Diskussion um Pocket-Integration in Firefox

Die verblüffende Einfachheit des Angriffs lässt Pocket als potenziell sehr unsicher erscheinen. Das gilt dann natürlich auch für die Daten der Nutzer. So fragen sich Kommentatoren, etwa bei Hackernews, warum Mozilla den Dienst überhaupt in den Browser eingebaut habe, dieser gefährde schließlich die Anwender.

Auch die grundsätzliche Kritik daran, dass ein nicht freier Dienst fest in den Browser integriert wurde, wird von einigen nun wieder vorgetragen. Ob Mozilla deshalb von seinem Verhalten abrückt, bleibt aber abzuwarten und ist eher unwahrscheinlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


tolc 21. Aug 2015

Danke ebenfalls für den Hinweis. Hab ich gleich mal deaktiviert, obwohl bei mir die...

sulawyo 20. Aug 2015

Pocket kann in Firefox via 'about:config' abgeschaltet werden: Einfach 'browser.pocket...

TC 20. Aug 2015

das Symbol entfernt. dafür gibts doch schon Bookmarks

Baron Münchhausen. 20. Aug 2015

Zu was es führt sieht man. Total verrückte Ideen.

NWM 20. Aug 2015

Super praktisch, 1. es gibt eine App die ohne Browser die in Pocket gespeicherten Inhalte...



Aktuell auf der Startseite von Golem.de
Fernwartung
Der Kundenansturm, der Teamviewer nicht gut getan hat

Wie schätzt man die weitere Geschäftsentwicklung ein, wenn die Kunden in der Pandemie plötzlich Panikkäufe machen? Das gelang bei Teamviewer nicht.
Ein Bericht von Achim Sawall

Fernwartung: Der Kundenansturm, der Teamviewer nicht gut getan hat
Artikel
  1. Pluton in Windows 11: Lenovo will Microsofts Sicherheitschip nicht aktivieren
    Pluton in Windows 11
    Lenovo will Microsofts Sicherheitschip nicht aktivieren

    Die neuen Windows-11-Laptops kommen mit dem Chip Pluton. Lenovo will diesen aber noch nicht selbst aktivieren.

  2. Netzneutralität: Google und Meta verteidigen sich gegen Telekom-Vorwürfe
    Netzneutralität
    Google und Meta verteidigen sich gegen Telekom-Vorwürfe

    Die beiden großen Internetkonzerne Google und Meta verweisen im Gespräch mit Golem.de auf ihren Beitrag zur weltweiten Infrastruktur wie Seekabel und Connectivity.

  3. Probefahrt mit BMW-Roller CE 04: Beam me up, BMW
    Probefahrt mit BMW-Roller CE 04
    Beam me up, BMW

    Mit futuristischem Design und elektrischem Antrieb hat BMW ein völlig neues Fahrzeug für den urbanen Bereich entwickelt.
    Ein Bericht von Peter Ilg

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3070 989€ • The A500 Mini Retro-Konsole mit 25 Amiga-Spielen vorbestellbar 189,90€ • RX 6800 16GB 1.129€ • Intel Core i9 3.7 459,50€ Ghz • WD Black 1TB inkl. Kühlkörper PS5-kompatibel 189,99€ • Switch: 3 für 2 Aktion • RX 6700 12GB 869€ • MindStar (u.a. 1TB SSD 69€) [Werbung]
    •  /