Ein Sicherheitsforscher hat eine Schwachstelle bei Mastodon entdeckt die es ermöglichte, Anmeldedaten von Nutzern auszuspähen. Die HTML-Injection-Schwachstelle wurde bei dem Client-Server-Fork von infosec.exchange gefunden. Der Pentester Gareth Heyes konnte die Schwachstelle nutzen um in Echtzeit die Anmeldedaten von Mastodon-Nutzern auszulesen.
Gareth Heyes' Entdeckung
Heyes untersuchte die Sicherheit der Infosec-Community auf Mastodon und entdeckte die Sicherheitslücke. In seinem Blogbeitrag sagt er, dass es möglich war, HTML-Code beim Versenden von Nachrichten zu nutzen. Mit Hilfe von HTML Injection konnte er den Code manipulieren und Anmeldedaten stehlen.
Die nächste Idee von Heyes war es, Mastodon-Passwörter über Formulare zu stehlen. Dazu fügte er per HTML Injection ein Formular auf portswigger-labs.net ein und testete, ob die Übermittlung funktioniert. Das Anmeldeformular konnte er erfolgreich fälschen.
Chrome-Autofill-Funktion
Der Sicherheitsforscher demonstrierte auch, ebenso wie gefährlich die Autofill-Funktion eines Browsers sein kann. Er testete die Funktion des Google-Chrome-Browsers und stellte fest. Dass Passwort automatisch von Chrome ausgefüllt wurde ohne jegliche Benutzerinteraktion.
Glitch-Fork Server-Software
Nachdem Heyes Mastodon auf die Sicherheitslücke aufmerksam gemacht hatte, wurde der Vorfall untersucht. Die von infosec.exchange verwendete Server-Software, Glitch-Fork, war für die Sicherheitspanne verantwortlich. Mittlerweile wurde die Sicherheitslücke bei Glitch und Mastodon geschlossen.
Die Gefahren bei Mastodon
Die Sicherheit von Mastodon hängt stark von der Wahl der Instanz ab. Die Mastodon-Instanz die man nutzt ist von zentraler Bedeutung, wenn es um Datenschutzrisiken geht. Die Alternative Server-Software Glitch-Fork zeigt, dass man sich nicht immer auf eine divergente Server-Software verlassen sollte. Die Frage, ob man dem Server der Software oder dem Betreiber vertrauen kann ist von großer Bedeutung für die Privatsphäre der Nutzer bei dem beliebten Mikroblogging-Dienst.
Kommentare