BIZIT 11 - prvi dan

BitTorrent sigurnosna ranjivost omogućava hakerske napade

Ozbiljna ranjivost u okviru Transmission BitTorrent aplikacije omogućava hakerima da sa udaljenosti upravljaju kompromitovanim računarima, a iz Google Project Zero upozoravaju da bi sličan sigurnosni propust mogao da postoji i u okviru drugih klijenata (programa koji su kreirani za peer-to-peer deljenje fajlova uz pomoć BitTorrent protokola).

PCPress.rs Image

Greška postoji u okviru opcije koja korisnicima dozvoljava da kontrolišu BitTorrent klijente preko svojih pretraživača, a koja je dostupna preko mnogih aplikacija, uključujući i Transmission. Iz Google Project Zero kažu da se ova opcija koristi bez sigurnosne lozinke jer se veruje da je neophodno da joj se fizički pristupi kako bi mogla da se zloupotrebi, ali su hakeri razvili takozvanu „domain name system rebinding“ metodu, te uz pomoć nje mogu da preuzmu kontrolu nad ranjivim računarom.  

Pokretanje malicioznog web-sajta na kojem se nalazi kod koji je potreban da bi se ranjivost eksploatisala je sve što je potrebno da bi napadač mogao da pristupi sistemu, a izgleda da i Google Chrome i Mozilla Firefox na Windows-u i Linux-u mogu da postanu deo ovakvih napada. Tehničkom analizom ranjivosti došlo se do zaključka da hakeri mogu da promene folder u kojem se čuva torrent, te preko aplikacije Transmission preuzmu kontrolu kada se otpremanje torrent-a na računar završi.

Pročitajte i:  5 razloga zašto će Linux preteći Windows i macOS na desktopu - na kraju

PCPress.rs Image

Najnezgodnija stvar u vezi sa ovom ranjivošću je to što su Transmission developeri ignorisali problem, te iz Google Project Zero kažu kako su kompaniji čak poslali i zakrpu koja bi trebalo da ponudi rešenje, ali ni to nije izazvalo reakcije. Google Project Zero developerima obično omogući period od 90 dana u kojem bi trebalo da dođe do rešenja nekog problema, a pre nego što o opasnostima obavesti javnost, ali je ovog puta drugačije, te je ranjivost objavljena posle 40 dana, budući da Transmission developeri nisu kontaktirali bezbednosne stručnjake.

Izvor: Softpedia

Facebook komentari:
Računari i Galaksija
Tagovi: , , , , , , , ,