Mastodon: Sicherheitslücken bei Anmeldedaten

Ein Sicherheitsforscher hat eine Schwachstelle bei Mastodon entdeckt die es ermöglichte, Anmeldedaten von Nutzern auszuspähen. Die HTML-Injection-Schwachstelle wurde bei dem Client-Server-Fork von infosec.exchange gefunden. Der Pentester Gareth Heyes konnte die Schwachstelle nutzen um in Echtzeit die Anmeldedaten von Mastodon-Nutzern auszulesen.



Gareth Heyes' Entdeckung


Heyes untersuchte die Sicherheit der Infosec-Community auf Mastodon und entdeckte die Sicherheitslücke. In seinem Blogbeitrag sagt er, dass es möglich war, HTML-Code beim Versenden von Nachrichten zu nutzen. Mit Hilfe von HTML Injection konnte er den Code manipulieren und Anmeldedaten stehlen.



Die nächste Idee von Heyes war es, Mastodon-Passwörter über Formulare zu stehlen. Dazu fügte er per HTML Injection ein Formular auf portswigger-labs.net ein und testete, ob die Übermittlung funktioniert. Das Anmeldeformular konnte er erfolgreich fälschen.



Chrome-Autofill-Funktion


Der Sicherheitsforscher demonstrierte auch, ebenso wie gefährlich die Autofill-Funktion eines Browsers sein kann. Er testete die Funktion des Google-Chrome-Browsers und stellte fest. Dass Passwort automatisch von Chrome ausgefüllt wurde ohne jegliche Benutzerinteraktion.



Glitch-Fork Server-Software


Nachdem Heyes Mastodon auf die Sicherheitslücke aufmerksam gemacht hatte, wurde der Vorfall untersucht. Die von infosec.exchange verwendete Server-Software, Glitch-Fork, war für die Sicherheitspanne verantwortlich. Mittlerweile wurde die Sicherheitslücke bei Glitch und Mastodon geschlossen.



Die Gefahren bei Mastodon


Die Sicherheit von Mastodon hängt stark von der Wahl der Instanz ab. Die Mastodon-Instanz die man nutzt ist von zentraler Bedeutung, wenn es um Datenschutzrisiken geht. Die Alternative Server-Software Glitch-Fork zeigt, dass man sich nicht immer auf eine divergente Server-Software verlassen sollte. Die Frage, ob man dem Server der Software oder dem Betreiber vertrauen kann ist von großer Bedeutung für die Privatsphäre der Nutzer bei dem beliebten Mikroblogging-Dienst.




Zuletzt aktualisiert am Uhr





Kommentare


Anzeige