Решение Mozilla внедрить Pocket во все версии Firefox в свое время вызвало критику у специалистов по безопасности и обычных пользователей. Расширение не отключается и не удаляется никаким способом. Проблему даже оформили как тикет в баг-трекере Bugzilla, но разработчики из Mozilla не пошли на уступки и оставили Pocket в составе Firefox.
Теперь у критиков появился еще один аргумент. В Pocket найдено множество уязвимостей. И хотя разработчики выпустили патчи для них, но это ещё раз доказывает, что от расширения может быть больше вреда, чем пользы. Pocket предназначен для сохранения веб-страниц и последующего чтения на компьютере или мобильном устройстве. Достаточно указать ему URL — и документ сохраняется на потом.
Специалист по безопасности Клинт Руохо (Clint Ruoho) попробовал «скормить» Pocket нестандартные ссылки (file:///etc/passwd; ssh://localhost; telnet://localhost:25) - безуспешно. Зато повезло с другой ссылкой (http://127.0.0.1/server-status). Сервер Pocket принял запрос и прислал ответ.
Apache Server Status for 127.0.0.1
Server Version: Apache/2.2.29 (Unix) DAV/2
Server Built: Mar 12 2015 03:50:17
...
Оказалось, что Pocket использует в своей работе Amazon EC2. В сервисе EC2 есть служебная функция Instance Metadata and User Data, доступ к которой осуществляется локально без аутентификации. Но если отправить правильный URL «на сохранение» в Pocket, то как раз такой запрос и выполнится локально, выдав хакеру служебные метаданные о виртуальной машине: зона, тип инстанса, тип сети, MAC-адрес, сведения о подключенном устройстве хранения.
И, пожалуй, самая опасная уязвимость связана с обработкой редиректов краулером Pocket. Если отправить ссылку, которая указывает редирект на file:///etc/passwd
, то Pocket скачает-таки file:///etc/passwd
с сервера.
Та же история с файлом (file:///proc/self/status)
, который дает информацию о запущенных процессах.
Горячие темы