Ein Smartphone mit dem Mastodon-Logo auf dem Bildschirm
Ein Smartphone mit dem Mastodon-Logo auf dem Bildschirm
Bildquelle: rafapress, Lizenz

Mastodon: Sicherheitslücke erlaubte den Diebstahl von Anmeldedaten

Der Sicherheitsforscher und Pentester Gareth Heyes fand eine Sicherheitslücke, mit der man Anmeldedaten von Mastodon-Usern auslesen konnte.

Dem Sicherheitsforscher Gareth Heyes gelang es, eine Sicherheitslücke in einem beliebten Client-Server-Fork von infosec.exchange bei Mastodon zu finden. Die HTML-Injection-Schwachstelle ermöglichte es dem Pentester, Anmeldedaten von Usern in Echtzeit auszulesen.

Gareth Heyes: Wie ich Anmeldedaten auf Infosec-Mastodon stehlen konnte

Die Sicherheit der User bei Mastodon hängt stark mit der Wahl einer Mastodon-Instanz zusammen. Eine dieser zurzeit sehr beliebten Instanzen ist infosec.exchange. Der Sicherheitsforscher und Pentester Gareth Heyes hat sich gefragt, wie sicher die Kommunikation der Infosec-Community auf Mastodon ist und fand tatsächlich eine Sicherheitslücke.

„HTML-Code beim Versenden von Nachrichten nutzen dürfen, was kann da schon schiefgehen“, stellt Heyes in seinem Blogbeitrag fest. Und er sollte recht behalten. Mit Hilfe von erfolgreicher HTML Injection und nach einigem Ausprobieren gelang es ihm, den Code entsprechend zu manipulieren.

Von hier aus war es nicht weit bis zur nächsten Idee des Pentesters: „Ich habe versucht, Mastodon-Passwörter über Formulare zu stehlen. Natürlich kann man Formularelemente per HTML Injection einfügen, also habe ich ein Formular auf portswigger-labs.net gerichtet und getestet, ob die Formularübermittlung funktioniert. Das tat es, also konnte ich das Anmeldeformular fälschen.

Chrome-Autofill-Funktion übermittelte Anmeldedaten ohne jegliche Benutzerinteraktion

Wie gefährlich die „Autofill-Funktion“ eines Browsers werden kann, demonstrierte der Sicherheitsforscher anhand des Google-Chrome-Browsers. „Mein nächster Test war mit Chrome autofill – würde das Passwort automatisch von Chrome ausgefüllt werden? Natürlich tat es das, und zwar ohne jegliche Benutzerinteraktion!

Anmeldedaten klauen auf Mastodon
Anmeldedaten klauen auf Mastodon

Nachdem Gareth Heyes den Mikroblogging-Dienst Mastodon auf die Sicherheitslücke aufmerksam gemacht hatte, wurde der Vorfall umgehend untersucht. Dabei stellte sich heraus, dass die von infosec.exchange verwendete Glitch-Fork Server-Software für die Sicherheitspanne verantwortlich war.

Sowohl bei Glitch, als auch bei Mastodon wurde mittlerweile nachgebessert und die Sicherheitslücke ist geschlossen.

Die alternative Server-Software „Glitch-Fork“ ist ein gutes Beispiel dafür, dass es nicht immer die beste Idee sein muss, sich auf eine divergente Server-Software zu verlassen.

Denn die Frage, ob man der jeweiligen Mastodon-Instanz (dem Server) oder vielmehr der Software oder auch dem Betreiber vertrauen kann, ist von zentraler Bedeutung, wenn es um die Privatsphäre und Datenschutzrisiken bei dem beliebten Mikroblogging-Dienst geht.

Tarnkappe.info

Über

Sunny schreibt seit 2019 für die Tarnkappe. Er verfasst die wöchentlichen Lesetipps und berichtet am liebsten über Themen wie Datenschutz, Hacking und Netzpolitik. Aber auch in unserer monatlichen Glosse, in Interviews und in „Unter dem Radar“ - dem Podcast von Tarnkappe.info - ist er regelmäßig zu hören.