Klient pro výměnnou síť BitTorrent, který se kdysi proslavil nízkými nároky na systémové zdroje, je v posledních letech spíše předmětem kontroverzí. Loni v rámci snahy o monetizaci začal uTorrent nabízet k prodeji hry, nepovedená integrace ale skončila odebráním digitálního obchodu. Došlo k tomu v poslední verzi – tj. 3.5.1, sestavení 44332 – z prosince. O pár let dříve zase instaloval do počítačů nástroj na těžbu kryptoměny. Klient se dále živí reklamou, přičemž od února 2016 nabízí možnost reklamy či funkce navíc získat za předplatné. Což je v pořádku, ztratil ale punc odlehčeného klienta. Pakliže jste s ním vydrželi do dnešních dní, měli byste zpozornět. Aktuální stabilní verze (a všechny předchozí), viz výše, obsahuje slabá místa zabezpečení.
Od pádů aplikace po přístup do počítače
Díry objevil Tavis Ormandy z týmu Google Zero a nahlásil ji firmě v listopadu. Jak klasický klient, tak webová verze např. vytváří HTTP RPC server, přičemž otevírají port 10000, resp. 19575. Podle bezpečnostního výzkumníka lze RPC server vzhledem k jeho nastavení zneužít velmi snadno – stačí dokonce navštívit web (který není těžké pro potřeby útoku upravit).
Pro potřeby demonstrace jedné z chyb vytvořil jednoduchou testovací stránku, kde si můžete na několik způsobů vyzkoušet, jak je snadné shodit klienta. Toto je jen neškodná ukázka, ke zneužití některých děr by ale dojít mohlo. A možností není málo: děravý klient umožní v počítači vzdáleně spustit škodlivý kód, ovládnout aplikaci nebo kopírovat stažené soubory.
Díra v uTorrentu relativně snadno umožňuje v počítači spustit malware (foto: Tavis Ormandy)To, že webová stránka může číst stažené soubory, ale není jediný prohřešek. Klasický klient např. dále vypíná ASLR. Je také možné z aplikace metodou rekonstrukce získat párovací klíče, cookies z webových relací apod. Dokumentace uTorentu dále tvrdí, že je řada funkcí v účtu Host vypnuta, ale Ormandy si ověřil, že to není pravda.
Něco bylo opraveno, něco ne, něco špatně
Nalezené bezpečnostní problémy jsou velice snadno zneužitelné, vlastník uTorrentu naštěstí pracuje na opravách. Dne 15. února byla vydána betaverze 3.5.3, u níž je jen souhrnně uvedeno, že řeší více slabých míst v zabezpečení, za jejich nahlášení vývojový tým děkuje Ormandymu. Co tedy bylo opraveno? Bezpečnostní výzkumník zatím minimálně došel k tomu, že aplikace stále nepracuje s ASLR.
https://twitter.com/taviso/status/966059962681016320
Webový uTorrent dále nadále obsahuje zranitelné místo, skrze které je možné službu napadnout. Čili určitých pokroků dosaženo bylo, ale všechno ještě opravené není. Pokud vás situace zajímá, můžete na Twitteru sledovat přímo Tavise Ormandyho. Problémů s uTorrentem je více, výše jsem je jen zkratkovitě shrnul. Určitě proto nevynechte příslušnou stránku na bugs.chromium.org, kam výzkumník navíc přidává čerstvé informace.
ČLÁNKY DO MAILU