Klient pro výměnnou síť BitTorrent, který se kdysi proslavil nízkými nároky na systémové zdroje, je v posledních letech spíše předmětem kontroverzí. Loni v rámci snahy o monetizaci začal uTorrent nabízet k prodeji hry, nepovedená integrace ale skončila odebráním digitálního obchodu. Došlo k tomu v poslední verzi – tj. 3.5.1, sestavení 44332 – z prosince.
O pár let dříve zase instaloval do počítačů nástroj na těžbu kryptoměny. Klient se dále živí reklamou, přičemž od února 2016 nabízí možnost reklamy či funkce navíc získat za předplatné. Což je v pořádku, ztratil ale punc odlehčeného klienta. Pakliže jste s ním vydrželi do dnešních dní, měli byste zpozornět. Aktuální stabilní verze (a všechny přechozí), viz výše, obsahuje slabá místa zabezpečení.
Od pádů aplikace po přístup do počítače
Díry objevil Tavis Ormandy z týmu Google Zero a nahlásil ji firmě v listopadu. Jak klasický klient, tak webová verze např. vytváří HTTP RPC server, přičemž otevírají port 10000, resp. 19575. Podle bezpečnostního výzkumníka lze RPC server vzhledem k jeho nastavení zneužít velmi snadno – stačí dokonce navštívit web (který není těžké pro potřeby útoku upravit).
Pro potřeby demonstrace jedné z chyb vytvořil jednoduchou testovací stránku, kde si můžete na několik způsobů vyzkoušet, jak je snadné shodit klienta. Toto je jen neškodná ukázka, ke zneužití některých děr by ale dojít mohlo. A možností není málo: děravý klient umožní v počítači vzdáleně spustit škodlivý kód, ovládnout aplikaci nebo kopírovat stažené soubory.
To, že webová stránka může číst stažené soubory, ale není jediný prohřešek. Klasický klient např. dále vypíná ASLR. Je také možné z aplikace metodou rekonstrukce získat párovací klíče, cookies z webových relací apod. Dokumentace uTorentu dále tvrdí, že je řada funkcí v účtu Host vypnuta, ale Ormandy si ověřil, že to není pravda.
Něco bylo opraveno, něco ne, něco špatně
Nalezené bezpečnostní problémy jsou velice snadno zneužitelné, vlastník uTorrentu naštěstí pracuje na opravách. Dne 15. února byla vydána betaverze 3.5.3, u níž je jen souhrnně uvedeno, že řeší více slabých míst v zabezpečení, za jejich nahlášení vývojový tým děkuje Ormandymu. Co tedy bylo opraveno? Bezpečnostní výzkumník zatím minimálně došel k tomu, že aplikace stále nepracuje s ASLR.
I just fixed the exploit and verified it still works. I would recommend asking BitTorrent to resolve this issue if you're affected, and it works in the default configuration so you probably are. Sigh.
— Tavis Ormandy (@taviso) February 20, 2018
Webový uTorrent dále nadále obsahuje zranitelné místo, skrze které je možné službu napadnout. Čili určitých pokroků dosaženo bylo, ale všechno ještě opravené není. Pokud vás situace zajímá, můžete na Twitteru sledovat přímo Tavise Ormandyho. Problémů s uTorrentem je více, výše jsem je jen zkratkovitě shrnul. Určitě proto nevynechte příslušnou stránku na bugs.chromium.org, kam výzkumník navíc přidává čerstvé informace.
dekuji za zpravu, mel jsem ten program nainstalovany, ale uz ho delsi dobu nepouzivam. Tak jsem ho aspon odinstaloval. Pouzivam sem tam Deluge.
Necjápu, že tem šmejd ještě někdo používá. Nejhorší torrent client. Poslední použitelná verze byla 2.2.1
On se najde šílenec, který by používal verzi novější, než 2.2.1?
Také mám verzi 2.2.1. a k tomu peerblock. Ani jedno tlačítko na té testovací stránce nemělo vliv na chod programu. Jsou postižení jen blbečci co používají vždycky jen ty nejnovější verze a musí mít všechno aktualizované do posledního puntíku. Když něco funguje, není potřeba do toho lézt, štourat se v tom a rozbít to.
Ta díra je někde od 2.0, build 17 tisíc a něco. Vypnutí WebUI nepomůže, porty jsou stále otevřené a čekají na připojení.
Stačí ve firewallu změnit obě příchozí pravidla pro uTorrent ze všech portů na ten jeden konkrétní, který se používá. Samozřejmě pak nejde použít náhodný port. A nebo pravidla upravit na 10001-19574, 19576-65535
Asi přejdu na qBittorrent.