Plingstore: Gefährliche Sicherheitslücken in Linux-Appstores
Der KDE-Store und andere Linux-Appstores haben eine schwere Sicherheitslücke. Es gelang den Findern nicht, dies den Verantwortlichen zu melden.
Mitarbeiter der IT-Sicherheitsfirma Positive Security haben eine Remote-Code-Execution-Sicherheitslücke im Plingstore gefunden. Dabei handelt es sich um eine Software, die von zahlreichen Linux-Desktop-Webseiten zur Installation von Apps und Erweiterungen genutzt wird.
Zu den betroffenen Seiten gehören der KDE-Store, die Webseite AppImageHub, sowie Gnome-Look.org, eine Webseite mit Themes für den Gnome-Desktop.
Alle diese Seiten gehören zum Plingstore, der von der Firma Hive01 betrieben wird, die wiederum zu Blue Systems gehört. Der Plingstore besteht neben den Webseiten aus einer Electron-App, deren Installation auf allen betroffenen Stores empfohlen wird und mit der die Webseiten zur App-Installation kommunizieren können.
HTML-Code-Einbindung erlaubt Cross-Site-Scripting
Wer als Entwickler im Plingstore eine App anlegt, kann dort einen HTML-Code eingeben, der auf der entsprechenden App-Unterseite angezeigt wird. Gedacht ist das, so die Beschreibung, etwa für Youtube-Videos.
Doch das Einbinden von fremdem HTML-Code in einer Webseite ist praktisch automatisch eine Cross-Site-Scripting-Lücke (XSS). Zwar versuchte die Seite offenbar, offensichtliche XSS-Vektoren auszufiltern, diese Filter ließen sich aber trivial umgehen.
Über die Electron-App gelang es den Forschern von Positive Security, über den Aufruf entsprechender Funktionen mithilfe der XSS-Lücke eine App zu installieren und damit Code auszuführen. Allerdings stellte sich heraus, dass dies überhaupt nicht nötig war: Die Electron-App des Plingstores lauscht lokal auf einem Websocket-Port, über den Webseiten mit der App kommunizieren können. Dabei findet keinerlei Authentifizierung statt - jede beliebige Webseite kann also hierüber Apps installieren.
Niemand beantwortet die Kontaktversuche der Sicherheitsforscher
Den Mitarbeitern von Positive Security gelang es nicht, die Sicherheitslücken an die Verantwortlichen zu melden. E-Mails und Telefonanrufe wurden nicht beantwortet, auch der Versuch, über das KDE-Projekt mit den Verantwortlichen Kontakt aufzunehmen, scheiterte.
Unabhängig vom Plingstore fanden die Mitarbeiter von Positive Security eine Cross-Site-Scripting-Lücke auf der Extensions-Webseite von Gnome. Diese arbeitet ebenfalls mit einer lokalen Software, die mit der entsprechenden Webseite kommuniziert. Hierbei wird aber der Ursprung der Verbindung geprüft.
Durch die Cross-Site-Scripting-Lücke ließ sich damit ebenfalls Schadsoftware installieren. Das Gnome-Projekt reagierte allerdings schnell: Nachdem die Lücke gemeldet wurde, war sie innerhalb eines Tages geschlossen.
KDE integriert so deren Theme Store usw. sprich ja es gibt viele Nutzer
Wird nicht ein großteil der KDE Widgets / Themes über deren Appstore verteilt?