Устранены бреши в онлайн-приложении Pocket

Разработчиками онлайн-приложения Pocket был устранен ряд уязвимостей в сервисе. Используя их, злоумышленники могли похищать информацию с серверов компании, в том числе важные данные о веб-службах и локальных IP-адресах.

Pocket, который ранее носил название Read it Later, является сервисом отложенного чтения. С помощью этой программы пользователь может сохранить публикацию, найденную им в Сети или в приложениях, и позже работать с сохраненным материалом везде, в том числе и в режиме офлайн.

Уязвимости были обнаружены исследователем Клинтом Руохо, который решил провести проверку безопасности приложения после того, как в июне 2015 года оно было интегрировано в браузер Mozilla Firefox.

Эксперт обратил внимание на то, что в некоторых аспектах Pocket может работать как локальный прокси. После того, как модуль mod_status отправлял запрос через Apache, создающий страницу статистики работы веб-сервера, данным модулем отображалась часть информации о клиентах сервиса, включая параметры запрашиваемых URL и локальные IP-адреса.

Кроме того, с использованием манипуляций с URL file:// можно было получить доступ к системным файлам из серверных окружений Amazon EC2, которые применяются для обеспечения работы Pocket.

Обнаружить брешь смогли после попытки отложить в Pocket ссылку http://127.0.0.1/server-status. Из-за этого на другом синхронизированном устройстве появилось содержимое страницы со статистикой работы сервера. Эксперт попробовал сохранить страницу, при открытии которой происходит перенаправление на URL file:///etc/passwd. В результате он смог получить доступ к файлу /etc/passwd и воспользоваться этим методом для того, чтобы читать другие файлы, которые находятся на сервере, к примеру, закрытые SSH-ключи текущего пользователя.