Distintas vulnerabilidades encontradas en el Add-on de Firefox, Pocket
La mencionada aplicación, incluida en todas las versiones del navegador del zorro rojo, permite a sus usuarios almacenar links, videos, artículos y demás para ser vistos en oportunidades futuras a través del dispositivo preferido, dándole también la opción, a los registrados, de usar estas funciones mientras no se está conectado a Internet.
Pero surgió un pequeño detallle… Pocket permite a los hackers plantar software malicioso o extraer información importante de los servidores de Firefox.
Clint Ruoho, investigador de seguridad web y bloggero, reveló que el add-on da acceso irrestricto a atacantes virtuales al servidor que auspicia la aplicación.
Para lograr efectuar el ataque, un hacker necesitaría solamente del navegador con el add-on instalado y acceso a un servidor Amazon EC2, cuyo costo de uso por hora es de tan solo 2 céntimos. Ruoho, aprovechando las funciones principales de ese servicio, fue capaz de agregar una dirección de servidor interna en la lista de usuarios de ‘Read it Later’, segundo nombre por el cual se conoce a Pocket. Esto dio paso a Ruoho y así entonces, tuvo acceso a información como credenciales IAM, la dirección IP interna del servidor, el tipo de red utilizada por el servidor y la Llave SSH privada que se requiere para conectarse a dicha red sin necesidad de una contraseña.
Con tener esta información, podrían los hackers tener acceso ilimitado y ver todos los archivos de sistema, con privilegios de nivel de administrador, lo que implicaría el poder borrar o introducir nuevos archivos en lo más profundo del servidor.
El investigador entonces reportó su hallazgo a la compañía dueña de la aplicación, pidiendo que de ser posible, realizaran el respectivo parche. Una vez aplicada dicha solución, consiguientemente, la misma pidió a Ruoho reservarse la plenitud de los detalles de la falla por un lapso de al menos 21 días.