Проведя (https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-po.../) поверхностный анализ защищённости службы Pocket (https://getpocket.com/), была выявлена серия серьёзных уязвимостей, демонстрирующих халатное отношение разработчиков к защите данных пользователей и показывающих, что при разработке безопасности не уделялось должного внимания. В частности, через манипуляции с URL "file://" оказалось возможным получить содержимое системных файлов из серверных  окружений Amazon EC2, которые используются для обеспечения работы Pocket.

Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Попытавшись сохранить страницу, при попытке открытия которой выдаётся редирект на URL "file:///etc/passwd" удалось получить содержимое файла /etc/passwd и использовать подобный метод для чтения других файлов с сервера, например, закрытых SSH-ключей текущего пользователя.

Проблемы с Pocket заслуживают внимание в силу интеграции поддержки данной службы непосредственно в Firefox. Начиная с версии 38.0.5 в Firefox были встроены средства обращения к службе Pocket, которая позволяет отложить страницы, чтобы вернуться к ним когда появится время, в том числе с других устройств. Данное нововведение вызвало (http://www.reddit.com/r/linux/comments/35wc7r/firefox_beta_n.../) неоднозначную реакцию в сообществе и
требования (https://bugzilla.mozilla.org/show_bug.cgi?id=1172126) исключить поддержку Pocket из основного состава Firefox, ограничив возможность работы с ним как с внешним дополнением (https://addons.mozilla.org/en-US/firefox/addon/read-it-later/). Главным образом, недовольство связано с тем, что Pocket является проприетарной разработкой и его встраивание в Firefox воспринимается как продвижение одного из сторонних коммерческих проектов, пренебрежение персональными данными пользователей и навязывание лишней функциональности, востребованной лишь небольшой категорией пользователей.

Выявленные уязвимости лишний раз указали на то, что проприетарным службам, реализация которых не может быть проконтролирована сообществом, не следует слепо доверять данные пользователей. Информация об уязвимости опубликована после устранения проблемы на стороне Pocket, тем не менее, выявленные проблемы красноречиво говорят об уровне защиты данного сервиса.

URL: https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-po.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42824