– Popcorn Time er ikke trygt
Ekspert fant sikkerhetshull og utnyttet det på én time.
Popcorn Time er en bittorrent-basert filmtjeneste der du enkelt kan se filmer som på Netflix – uten å betale, og uten opphavsmennenes tillatelse.
Vi vet ikke helt om tjenesten er ulovlig i Norge eller ikke, men om en datavitenskapsmann ved navn Antonios Chariton har rett, er den ikke spesielt sikker.
– Kommuniserer i standard HTTP
Chariton har snakket med nettstedet TorrentFreak, og sier at Popcorn Time gjør noe smart for å sikre at trafikken ikke enkelt kan blokkeres av nettleverandørene.
Det bruker nemlig deler av infrastrukturen til vertsselskapet Cloudflare i oppsettet, og dermed må man blokkere mye mer enn bare Popcorn Time om man ønsker å stanse trafikken.
Problemet er bare at denne kommunikasjonen foregår over den vanlige HTTP-protokollen, som er svært usikker. I tillegg har ikke programmet noen måte å sjekke om dataen det mottar er ekte eller ikke.
Satte seg selv som mellommann
Charlton fant det dermed enkelt å opptre som en «mellommann», og på den måten sende ondsinnet data til programmet. Først gjorde han noe så enkelt som å endre en filmtittel, men senere tok han over hele programmet.
– Vi har injisert ondsinnet JavaScript-kode, og klientapplikasjonen kjørte denne koden. På denne måten kan vi vise falske beskjeder, eller noe enda smartere. Siden applikasjonen er skrevet i Javascript-språket NodeJS, så kan du kontrollere hele applikasjonen hvis du finner en XSS-sårbarhet, sier Charlton.
Han fortsetter:
– Det er essensielt en fjernkontrollert kode på datamaskinen som kjører Popcorn Time. Du kan gjøre alt brukeren av datamaskinen kan gjøre.
Til skaperne av Popcorn Time har han ett enkelt råd: Slutt å kommunisere via standard HTTP.
Popcorn Time svarer
Det er et poeng at det finnes flere varianter av Popcorn Time. Sikkerhetshullet gjelder PopcornTime.io (og potensielt andre varianter), mens Popcorn-Time.se sier til TorrentFreak at deres versjon ikke er sårbar for angrep av denne typen.
PopcornTime.io har svart på artikkelen, og skriver at vanlige brukere har liten grunn til å være engstelige. Et slikt angrep som Charlton har utført, kan ifølge dem kun gjøres hvis man har tilgang på nettverket ditt, «eller er nettleverandøren din».
De skriver også at Popcorn TIme ikke har så høy sikkerhetsklarering i Windows at man kan ta kontroll over noens datamaskin gjennom et XSS-angrep. At man kan ta over programmet selv ser de imidlertid på som alvorlig, og skal allerede ha startet arbeidet med å rette problemet.
Bruker du Popcorn Time?
Rettighetsalliansen hevder de kan se hvem som bruker tjenesten »
(Kilde: TorrentFreak via BGR)
