Pocket, repleto de vulnerabilidades en Mozilla

Share this…

Un analista de seguridad da a conocer a través de su blog, fallos importantes de este servicio que, desde su última actualización, integra Firefox.

Aunque solo han pasado poco más de dos meses desde que Mozilla anunciase la integración dePocket en la última versión de su navegador –Firefox 38.0.5-, parece que el servicio –que permite guardar una página para leerla después, eliminando los anuncios publicitarios- ya ha empezado a dar problemas.

Contraseñas y direcciones IP al descubierto

Así, el analista de seguridad Clint Ruoho ha detectado varios fallos en el op-out; unas vulnerabilidades que ha publicado en su blog esta misma semana pero que ya dio a conocer a la multinacional hace más de 21 días, el tiempo que esta le pidió para (en teoría) solucionarlos. Pero ella solo los parcheó.

Logoptipo de la aplicación
Logoptipo de la aplicación

Por desgracia, estos errores podrían haber permitido a los hackers conocer (a través de los servidores de la compañía) nuestras contraseñas, direcciones IP y manipular los enlaces de lectura, “llenándolos” con malware, entre otros.

Según Ruoho, para lograrlo, el ciberdelincuente solo necesitará un navegador, la aplicación móvil de la plataforma protagonista de nuestro artículo, y acceso al servidor Amazon EC2, que cuesta dos centavos por hora. En concreto, el especialista comprobó cómo, al introducir una dirección interna de este servidor en la lista de usuarios de Pocket, tenía la posibilidad de hallar los credenciales IAM, nuestra IP, y averiguar el tipo de red y la clave privada SSH.

En definitiva, unos fallos de seguridad que brindarían la oportunidad a los piratas informáticos de acceder a nuestra información con privilegios root en el Back End de la web.

Fuente:https://www.malavida.com/