Плагін Torrents-Time, який буквально перетворив найбільші торрент-трекери мережі в онлайнові кінотеатри, вже привернув до себе чимало уваги.
Те, що відбувається, цілком очікувано, не подобається правовласникам, які вже пригрозили судовим переслідуванням всім, кому тільки змогли. Але, крім цього, відомий дослідник в області інформаційної безпеки Ендрю Самсон (Andrew Sampson) вивчив Torrents-Time і прийшов до висновку, що плагін небезпечний.
Пройшов всього тиждень після того, як ми вперше розповіли про Torrents-Time, а плагін вже підтримують найбільші торрент-трекери світу, такі як The Pirate Bay і Kickass Torrents, а також десятки дрібніших ресурсів.
Але хоча швидкий крах Torrents-Time не загрожує, у нього є й інші проблеми. Стрімко набирає популярність плагін вивчив дослідник Ендрю Самсон (Andrew Sampson). Він знайшов відразу ряд проблем, про які докладно розповів у своєму блозі.
За словами дослідника, Torrents-Time некоректно працює з однією з ключових систем безпеки - CORS (Cross-Origin Resource Sharing). Фактично, через це атакуючий може підробити сторінку будь-якого популярного трекера і вбудувати в неї власний шкідливий код, який спрацює через некоректну роботу CORS. Самсон зумів запустити вікно плеєра Torrents-Time всередині шкідливої сторінки і підсунув теоретичної жертві шуканий торрент-файл. Поки жертва дивиться кіно і вважає, що знаходиться на звичному сайті, на тлі виповнюється шкідливий код.
Варто відзначити і ще одну особливість плагіна, яка вже відома всім користувачам Mac. На пристроях Apple додаток Torrents-Time запитує root-доступ, що само по собі є великою діркою в безпеці. Так, Самсон зауважив, що на Mac плагін може отримати команду примусово завантажити і встановити себе заново. Цей процес можуть також зламати зловмисники, змусивши жертву завантажити довільний файл з їх власного сервера.
Але проблеми спостерігаються не тільки на стороні користувачів. Серверна частина плагіна, що працює на The Pirate Bay і Kickass Torrents, ставить сайти під загрозу. Наприклад, в разі The Pirate Bay, файл tt.php веде прямо на основний домен TPB, що відкриває сайт для XSS-атак і атак man in the middle. Дивись ілюстрацію вище.
«Це все одно, що залишити двері відкритими, або і того гірше: віддати ключі від будинку незнайомця, попередньо не впізнавши про нього нічого і просто сліпо йому довірившись», - резюмує Самсон і радить всім видалити Torrents-Time, поки не стало пізно.