Captura de pantalla de Pocket

Aunque solo han pasado poco más de dos meses desde que Mozilla anunciase la integración de Pocket en la última versión de su navegador –Firefox 38.0.5-, parece que el servicio –que permite guardar una página para leerla después, eliminando los anuncios publicitarios- ya ha empezado a dar problemas.

Contraseñas y direcciones IP al descubierto

Así, el analista de seguridad Clint Ruoho ha detectado varios fallos en el op-out; unas vulnerabilidades que ha publicado en su blog esta misma semana pero que ya dio a conocer a la multinacional hace más de 21 días, el tiempo que esta le pidió para (en teoría) solucionarlos. Pero ella solo los parcheó.

Logoptipo de la aplicaciónLogoptipo de la aplicación

Por desgracia, estos errores podrían haber permitido a los hackers conocer (a través de los servidores de la compañía) nuestras contraseñas, direcciones IP y manipular los enlaces de lectura, “llenándolos” con malware, entre otros.

Según Ruoho, para lograrlo, el ciberdelincuente solo necesitará un navegador, la aplicación móvil de la plataforma protagonista de nuestro artículo, y acceso al servidor Amazon EC2, que cuesta dos centavos por hora. En concreto, el especialista comprobó cómo, al introducir una dirección interna de este servidor en la lista de usuarios de Pocket, tenía la posibilidad de hallar los credenciales IAM, nuestra IP, y averiguar el tipo de red y la clave privada SSH.

En definitiva, unos fallos de seguridad que brindarían la oportunidad a los piratas informáticos de acceder a nuestra información con privilegios root en el Back End de la web.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?