BitTorrent hija app waħda tat-Trażmissjoni użata ħafna li tintuża għat-trasferiment ta 'fajls kbar, bħal fajls tal-vidjow diġitali li fihom programmi tat-TV / films jew filmati tal-vidjow jew fajls tal-awdjo diġitali li fihom kanzunetti. Jibqa 'sors ewlieni ta' divertiment għal biċċa kbira ta 'nies li jużaw il-web. Iżda reċentement, it-tim tal-Proġett Żero ta 'Google skopra "difett kritiku" fl-app BitTorrent li jista' jippermetti lill-hackers jeżegwixxu remotament kodiċi malizzjuż fuq il-kompjuters tal-utenti BitTorrent u jieħdu l-kontroll tagħhom.
Skond Tavis Ormandy, ir-riċerkatur tas-sigurtà li kixef id-difett, id-difett huwa preżenti fil-funzjoni tat-trasmissjoni, li tippermetti lill-utenti jikkontrollaw l-app BitTorrent mill-web browser tagħhom. Huwa wissa wkoll li l-klijenti BitTorrent huma wkoll suxxettibbli għad-difett. Nhar it-Tnejn, huwa tweeted dwar id-difett hekk kif:
L-ewwel minn ftit difetti fl-eżekuzzjoni tal-kodiċi remot f'diversi klijenti popolari tat-torrent, hawnhekk hija Trażmissjoni ta 'vulnerabbiltà ta' konnessjoni mill-ġdid tad-DNS, li tirriżulta f'eżekuzzjoni arbitrarja ta 'kodiċi remot. https://t.co/kAv9eWfXlG
- Tavis Ormandy (@taviso) Jannar 11, 2018
Skont il-prova ta ’attakk ta’ Ormandy, bl-użu ta ’teknika ta’ hacking magħrufa bħala Domain Name System rebinding, l-interface tat-Trażmissjoni tista ’tiġi kkontrollata mill-bogħod meta utent vulnerabbli jżur sit malizzjuż. Ormandy tiddikjara li dan in-nuqqas jaħdem fuq web browsers popolari bħal Chrome u Firefox, u huwa applikabbli għat-tnejn twieqi u, Linux.
Skont l-isfruttar tiegħu, l-attakkanti jistgħu jieħdu l-kontroll tas-sistemi tal-utenti billi joħolqu isem DNS li huma awtorizzati jikkomunikaw miegħu u mbagħad jagħmluh jirrisolvi għall-hostname lokali tal-kompjuter vulnerabbli.
Il-ġimgħa li għaddiet, ir-riċerkaturi tal-Proġett Żero ppubblikaw il-kodiċi tal-attakk tal-prova tal-kunċett. Ta 'min jinnota li l-Proġett Żero normalment iżomm lura lilu nnifsu milli jagħmel id-dettalji ta' difetti bħal dawn pubbliċi għal 90 jum jew sakemm il-korrezzjoni tiġi rilaxxata. Madankollu, f'dan il-każ, id-difett sar pubbliku 40 jum biss wara r-rapport inizjali.
Ormandy u l-Proġett Zero ta ’Google ġew sfurzati li jmorru għall-pubbliku b’dettalji dwar id-difett minħabba li l-iżviluppaturi tat-trasmissjoni ta’ BitTorrent apparentement naqsu milli jwaħħluha, minkejja li ġew notifikati aktar minn 40 jum ilu.
"Qed insibha frustranti li l-iżviluppaturi tat-trażmissjoni mhumiex qed jirrispondu fuq il-lista ta 'sigurtà privata tagħhom, ssuġġerejt li ndaħħal dan fil-miftuħ sabiex id-distribuzzjonijiet ikunu jistgħu japplikaw il-garża b'mod indipendenti." Ormandy kiteb fir-rapport tiegħu.
Soluzzjoni mistennija tiġi rilaxxata malajr kemm jista 'jkun, uffiċjal tal-iżvilupp ma' Transmission qal lil ArsTechnica. Madankollu, ma ngħatat l-ebda data speċifika.
