BitTorrent: Ευπάθεια επιτρέπει πλήρη πρόσβαση σε υπολογιστές

Μια ευπάθεια στη δημοφιλή εφαρμογή BitTorrent Transmission, επιτρέπει σε κακόβουλους χρήστες να ελέγξουν εξ αποστάσεως υπολογιστές που τρέχουν το πρόγραμμα. Την αποκάλυψη την έκανε ο ερευνητής του Google Project Zero Tavis Ormandy που ανέφερε ότι υπάρχει πιθανότητα να υπάρχει το ίδιο σφάλμα ασφαλείας και σε άλλα BitTorrent clients.

Το σφάλμα βρίσκεται στη δυνατότητα που επιτρέπει στους χρήστες να ελέγχουν το BitTorrent από τα περιήγησής τους και η συγκεκριμένη λειτουργία είναι διαθέσιμη στις περισσότερες BitTorrent εφαρμογές που κυκλοφορούν.

Ο Ormandy αναφέρει επίσης, ότι πολλοί είναι αυτοί που τρέχουν τη λειτουργία χωρίς κάποιο κωδικό επειδή πιστεύουν ότι απαιτείται φυσική πρόσβαση στο σύστημα από τους hackers. Αν όμως κάποιος που γνωρίζει χρησιμοποιήσει μια μέθοδο επίθεσης που ονομάζεται DNS rebinding μπορεί να πάρει τον έλεγχο του που τρέχει την εφαρμογή.

Το μόνο που χρειάζεται είναι μια ιστοσελίδα που φιλοξενεί τον κακόβουλο κώδικα που απαιτείται για την εκμετάλλευση της ευπάθειας. Αυτή τη στιγμή όπως φαίνεται, και ο Google Chrome αλλά και ο Firefox σε Windows και Linux μπορούν να χρησιμοποιηθούν για την επίθεση.

Η τεχνική ανάλυση της ευπάθειας δείχνει ότι οι hackers μπορούν να αλλάξουν την λίστα λήψεων των torrents και ταυτόχρονα να χρησιμοποιήσουν το Transmission για να τρέξουν εντολές όταν τελειώνουν οι λήψεις.

Το χειρότερο είναι ότι οι προγραμματιστές του Transmission έχουν αγνοήσει μέχρι στιγμής τον Ormandy που αναφέρει ότι έχει επικοινωνήσει μαζί τους εδώ και καιρό.

Να αναφέρουμε ότι όλα τα ελαττώματα ασφαλείας που ανακαλύπτονται από το πρόγραμμα Project Zero, αποκαλύπτονται δημόσια 90 ημέρες μετά την ενημέρωση της εταιρείας που ανέπτυξε την εφαρμογή. Σε περίπτωση που η εταιρεία δεν έχει κυκλοφορήσει κάποια ενημέρωση για επιδιόρθωση της ευπάθειας, η πολιτική του προγράμματος Project Zero επιτρέπει την δημόσια ανακοίνωση της ευπάθειας. Αυτή τη φορά, ωστόσο ο Ormandy αποφάσισε να δημοσιοποιήσει όλες τις λεπτομέρειες 40 ημέρες μετά την ανακοίνωση της ευπάθειας.

Όμως δείτε την παρακάτω εικόνα από το qBitTorrent που χρησιμοποιώ:BitTorrent

Και πιο κάτω το web ui του Transmission:

Σύμφωνα με τις παραπάνω , θα πρέπει να αναφέρω, ότι όσα BitTorrent clients γνωρίζω και έχω χρησιμοποιήσει, έχουν αυτή τη δυνατότητα απενεργοποιημένη από προεπιλογή, οπότε η βιασύνη του Ormandy, μάλλον δεν χρειαζόταν.

Εσείς έχετε συναντήσει κάποιο client με ενεργοποιημένο το remote control;

 

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).