Firefox-Dienst Pocket gab vertrauliche Infos preis

Der Firefox-Dienst Pocket ließ sich vergleichsweise einfach attackieren, Angreifer konnten von verschiedenen Servern detaillierte Status-Informationen abziehen. Das hat ein Sicherheitsforscher herausgefunden, als er das Tool zur Verwaltung von Lesezeichen untersuchte. Mittlerweile wurden die Lücken den Pocket-Entwicklern zufolge geschlossen.

Überschaubares Werkzeug-Set

Dabei setzte der Sicherheitsforscher die Pocket-App, einen Server in der Amazon Cloud und einen Webbrowser ein. Anschließend hat der Forscher die URL http://127.0.0.1/server-status in die Pocket-Liste eingetragen und konnte folglich Infos von den Pocket-Servern auf seinem Smartphone einsehen. Das funktionierte, da der jeweilige Server einer Eingabe des Localhost vertraute.

In den abgefangenen Daten waren etwa neben den Quell- und Ziel-IP-Adressen auch die Versionen der Apache-Server und verschiedene Abfrageparameter einzusehen. Viele Server haben das dafür zuständige Status-Modul jedoch gesperrt und geben keine Infos preis.

Passwörter zum Greifen nah

Der Sicherheitsforscher fand zudem über DNS-Abfragen heraus, dass Pocket auf die Amazon Cloud setzt. Über Amazons Metadaten-Dienst und die Eingabe der dazugehörigen URLs in Pocket, konnte er die gesamte Cloud-Konfiguration des Dienstes auslesen.

Letztlich nutzte der Forscher einen manipulierten Link, um eine HTTP-Umleitung zu erzwingen. So konnte er die Inhalte der Datei /etc/passwd mitschneiden und Daten inklusive Passwörtern von Nutzern der Server aufzeichnen. Der Sicherheitsforscher besaß zu diesem Zeitpunkt Root-Rechte und hätte zudem die privaten SSH-Schlüssel für einen Vollzugriff auf die Infrastruktur auslesen können.

Aktuell flammt Kritik auf, warum Mozilla Pocket überhaupt standardmäßig in Firefox integriert. Die Entwickler haben sich dazu aktuell noch nicht geäußert.

[UPDATE, 20.08.2015 11:30 Uhr]

Bezeichnungen von Pocket im Text und aushorchbare Server angepasst. (des)