Ifixit sollte jedem, der sich schon einmal genauer mit Hardwarekomponenten von elektronischen Endbenutzergeräten (Handys, Navis, etc.) beschäftigt hat, ein Begriff sein. Auf dieser Internetplattform kann man sich über Reperaturmöglichkeiten der einzelnen Geräte informieren und selbst versuchen, seine Geräte zu reparieren. So spart man nicht nur Geld, sondern oft auch unnötige Zeit ohne das Gerät. Für technikversierte Benutzer ist die Internetseite auf jeden Fall einen Besuch wert, denn dort lernt man viel über Hardware. Leider sind die meisten Texte auf Englisch, allerdings gibt es schon teilweise deutsche Übersetzungen. Viele deutsche Newsportale, wie etwa golem.de nutzen ifixit als Informationsquelle.
Bei Ifixit gibt es neben dem Forum auch einen kleinen Online-shop, in dem man Werkzeuge kaufen kann. Wir entdeckten in diesem Shopsystem zwei CSRF Lücken, welche den Warenkorb betrafen.
Das CSRF-Token, welches zur Verifizierung jedes Vorganges übersandt wird, wurde bei ausgeloggten Benutzern nicht validiert. Ein Angreifer hätte so eigene Artikel bei anderen Benutzern unbemerkt in den Warenkorb legen oder andere entfernen können.
Wir kontaktierten daraufhin am 21.03.2013 das Security Team und erhielten bereits 5 Stunden später eine Antwort, dass das Problem verifiziert wurde. Man erklärte uns, dass man auf Varnish (Ein Tool für das Caching von HTML-Inhalten) umgestiegen sei, um die Serverlast zu verringern. Dabei würden die CSRF Tokens ausgeloggter Benutzer alle gleich sein, sodass keine Validierung statt fand.
Man sah aber ein, dass diese Praxis für die Produktseiten nicht von Vorteil ist, sodass man das Problem beheben werde. Gleichzeitig fragte man uns nach dem gewünschten Eintrag auf der Responsible Disclosure Seite und nach einer Lieferadresse für ein kleines Dankeschön. Wir übermittelten die entsprechenden Informationen und nach einigen Lieferschwierigkeiten haben wir nun ein Ifixit-T-Shirt und ein kleines Toolkit bekommen.
Damit schließen wir diesen Fall ab und bedanken uns bei Ifixit für die nette Kommunikation, sowie das Päckchen :)
Das Team der Internetwache.org