Plugin Torrents-Time, care a transformat literalmente cea mai mare rețea de trackere torrent în teatre online, a atras deja o mare atenție.
Ceea ce se întâmplă, este destul de așteptat, nu îi plac deținătorii de drepturi care au amenințat deja că vor urmări în justiție toți cei care ar putea. Dar, dincolo de asta, un cercetator bine-cunoscut în domeniul securității informațiilor de Andrew Sampson (Andrew Sampson) a studiat Torentele în timp și a ajuns la concluzia că plugin-ul nu este sigur.
O săptămână a trecut de când am vorbit mai întâi despre Torentele-Time, un plug-in suporta cele mai mari trackere torrent ale lumii, cum ar fi The Pirate Bay și Kickass Torrents, precum și zeci de resurse mai mici.
Dar, deși colapsul timpuriu al Torrents-Time nu amenință, are și alte probleme. Obținerea rapidă a popularității plug explorer explorer Andrew Sampson (Andrew Sampson). A găsit imediat o serie de probleme, pe care le-a descris în detaliu în blogul său.
Potrivit cercetătorului, Torrents-Time funcționează incorect cu unul dintre sistemele cheie de securitate - CORS (Cross-Origin Sharing Resource). De fapt, din cauza acestui fapt, un atacator poate falsifica orice pagină tracker populare și încorporați-l în codul lor malitios proprii, care va funcționa din cauza CORS o funcționare necorespunzătoare. Sampson a reușit să lanseze fereastra de jucător Torrents-Time în interiorul paginii periculoase și a alunecat fișierul torrent dorit victimei teoretice. În timp ce victima urmărește filmul și crede că este pe site-ul obișnuit, codul rău intenționat este executat în fundal.
Trebuie remarcat și o altă caracteristică a plug-in-ului, care este deja cunoscut tuturor utilizatorilor de Mac. Pe dispozitivele Apple, aplicația Torrents-Time solicită accesul la rădăcină, care în sine este o gaură mare de securitate. Deci, Sampson a observat că pe pluginul Mac poate primi comanda pentru a descărca forțat și pentru a se reinstala. Acest proces poate, de asemenea, să spargă hackeri, forțând victima să descarce un fișier arbitrar de pe propriul server.
Dar problemele nu sunt doar pe partea utilizatorilor. Partea de server a plug-in-ului, care rulează pe The Pirate Bay și Kickass Torrents, pune site-urile la risc. De exemplu, în cazul casei The Pirate Bay, fișierul tt.php conduce direct la domeniul TPB principal, care deschide site-ul pentru atacurile XSS și omul în mijlocul atacurilor. Vedeți ilustrația de mai sus.
„Este ca și cum că lasă ușa deschisă, sau mai rău: pentru a da cheile de la un străin la domiciliu, fără să știe mai întâi ceva despre el și doar orbește încredere plasat în el“ - însumează Sampson și sfătuiește toată lumea pentru a elimina Torentele-timp, înainte de a fi prea târziu.
Articole similare
-
Plugin phpmyadmin portabil este periculos pentru comunitatea wordpress, totul despre wordpress
-
Tot ce ați vrut să știți despre noul ipad mini 4, știri și recenzii despre ipad mini
-
Teme de fantezie și fantezie pentru ubuntu, linuxsoid - știri open source, articole și recenzii
Trimiteți-le prietenilor: