비트 토런트 TV 프로그램/영화 또는 비디오 클립이 포함된 디지털 비디오 파일 또는 노래가 포함된 디지털 오디오 파일과 같은 대용량 파일을 전송하는 데 사용되는 널리 사용되는 전송 앱 중 하나입니다. 웹을 사용하는 많은 사람들에게 엔터테인먼트의 주요 소스로 남아 있습니다. 그러나 최근 Google의 Project Zero 팀은 BitTorrent 앱에서 해커가 BitTorrent 사용자의 컴퓨터에서 원격으로 악성 코드를 실행하고 이를 제어할 수 있는 "심각한 결함"을 발견했습니다.
이 결함을 발견한 보안 연구원 Tavis Ormandy에 따르면 이 결함은 사용자가 웹 브라우저에서 BitTorrent 앱을 제어할 수 있는 전송 기능에 존재합니다. 그는 또한 BitTorrent 클라이언트도 이 결함에 취약하다고 경고했습니다. 월요일에 그는 결함에 대해 다음과 같이 트윗했습니다.
다양한 인기 있는 토렌트 클라이언트의 몇 가지 원격 코드 실행 결함 중 첫 번째는 DNS 리바인딩 취약성 전송으로 임의의 원격 코드 실행이 발생합니다. https://t.co/kAv9eWfXlG
- 타비스 오만 디 (@ 타비 소) 2018 년 1 월 11 일
Ormandy의 공격 증명에 따르면 Domain Name System 리바인딩이라는 해킹 기술을 사용하여 취약한 사용자가 악의적인 사이트를 방문할 때 전송 인터페이스를 원격으로 제어할 수 있습니다. Ormandy는 이 결함이 Chrome 및 Firefox와 같은 널리 사용되는 웹 브라우저에서 작동하며 두 브라우저 모두에 적용된다고 밝혔습니다. Windows 그리고 Linux.
그의 익스플로잇에 따라 공격자는 통신할 수 있는 DNS 이름을 만든 다음 취약한 컴퓨터의 로컬 호스트 이름으로 확인함으로써 사용자 시스템을 제어할 수 있습니다.
지난주 Project Zero 연구원들은 개념 증명 공격 코드를 발표했습니다. Project Zero는 일반적으로 90일 동안 또는 수정 사항이 릴리스될 때까지 이러한 결함의 세부 정보를 공개하지 않습니다. 하지만 이 경우 최초 신고 후 40일 만에 결함이 공개됐다.
Ormandy와 Google의 Project Zero는 BitTorrent의 전송 개발자가 40일 이상 전에 알림을 받았음에도 불구하고 분명히 패치하지 않았기 때문에 결함에 대한 세부 정보를 공개해야 했습니다.
"전송 개발자가 개인 보안 목록에 응답하지 않는 것이 답답합니다. 배포판이 독립적으로 패치를 적용할 수 있도록 이것을 공개할 것을 제안했습니다." Ormandy는 그의 보고서에 썼습니다.
Transmission의 한 개발 관계자는 ArsTechnica에 수정 사항이 가능한 한 빨리 발표될 것이라고 말했습니다. 다만 구체적인 날짜는 밝히지 않았다.
