uTorrent je děravý, chyby lze snadno zneužít. Scénářů možných dopadů je mnoho

Strhněte si betaverzi, která obsahuje první opravy, nebo dočasně raději používejte jiný program.

6
uTorrent
uTorrent

Klient pro výměnnou síť BitTorrent, který se kdysi proslavil nízkými nároky na systémové zdroje, je v posledních letech spíše předmětem kontroverzí. Loni v rámci snahy o monetizaci začal uTorrent nabízet k prodeji hry, nepovedená integrace ale skončila odebráním digitálního obchodu. Došlo k tomu v poslední verzi – tj. 3.5.1, sestavení 44332 – z prosince.

O pár let dříve zase instaloval do počítačů nástroj na těžbu kryptoměny. Klient se dále živí reklamou, přičemž od února 2016 nabízí možnost reklamy či funkce navíc získat za předplatné. Což je v pořádku, ztratil ale punc odlehčeného klienta. Pakliže jste s ním vydrželi do dnešních dní, měli byste zpozornět. Aktuální stabilní verze (a všechny přechozí), viz výše, obsahuje slabá místa zabezpečení.

Od pádů aplikace po přístup do počítače

Díry objevil Tavis Ormandy z týmu Google Zero a nahlásil ji firmě v listopadu. Jak klasický klient, tak webová verze např. vytváří HTTP RPC server, přičemž otevírají port 10000, resp. 19575. Podle bezpečnostního výzkumníka lze RPC server vzhledem k jeho nastavení zneužít velmi snadno – stačí dokonce navštívit web (který není těžké pro potřeby útoku upravit).

Pro potřeby demonstrace jedné z chyb vytvořil jednoduchou testovací stránku, kde si můžete na několik způsobů vyzkoušet, jak je snadné shodit klienta. Toto je jen neškodná ukázka, ke zneužití některých děr by ale dojít mohlo. A možností není málo: děravý klient umožní v počítači vzdáleně spustit škodlivý kód, ovládnout aplikaci nebo kopírovat stažené soubory.

Díra v uTorrentu relativně snadno umožňuje v počítači spustit malware (foto: Tavis Ormandy)
Díra v uTorrentu relativně snadno umožňuje v počítači spustit malware (foto: Tavis Ormandy)

To, že webová stránka může číst stažené soubory, ale není jediný prohřešek. Klasický klient např. dále vypíná ASLR. Je také možné z aplikace metodou rekonstrukce získat párovací klíče, cookies z webových relací apod. Dokumentace uTorentu dále tvrdí, že je řada funkcí v účtu Host vypnuta, ale Ormandy si ověřil, že to není pravda.

Něco bylo opraveno, něco ne, něco špatně

Nalezené bezpečnostní problémy jsou velice snadno zneužitelné, vlastník uTorrentu naštěstí pracuje na opravách. Dne 15. února byla vydána betaverze 3.5.3, u níž je jen souhrnně uvedeno, že řeší více slabých míst v zabezpečení, za jejich nahlášení vývojový tým děkuje Ormandymu. Co tedy bylo opraveno? Bezpečnostní výzkumník zatím minimálně došel k tomu, že aplikace stále nepracuje s ASLR.

Webový uTorrent dále nadále obsahuje zranitelné místo, skrze které je možné službu napadnout. Čili určitých pokroků dosaženo bylo, ale všechno ještě opravené není. Pokud vás situace zajímá, můžete na Twitteru sledovat přímo Tavise Ormandyho. Problémů s uTorrentem je více, výše jsem je jen zkratkovitě shrnul. Určitě proto nevynechte příslušnou stránku na bugs.chromium.org, kam výzkumník navíc přidává čerstvé informace.

Ohodnoťte tento článek!

6 KOMENTÁŘE

    • Také mám verzi 2.2.1. a k tomu peerblock. Ani jedno tlačítko na té testovací stránce nemělo vliv na chod programu. Jsou postižení jen blbečci co používají vždycky jen ty nejnovější verze a musí mít všechno aktualizované do posledního puntíku. Když něco funguje, není potřeba do toho lézt, štourat se v tom a rozbít to.

    • Ta díra je někde od 2.0, build 17 tisíc a něco. Vypnutí WebUI nepomůže, porty jsou stále otevřené a čekají na připojení.
      Stačí ve firewallu změnit obě příchozí pravidla pro uTorrent ze všech portů na ten jeden konkrétní, který se používá. Samozřejmě pak nejde použít náhodný port. A nebo pravidla upravit na 10001-19574, 19576-65535