Een security-onderzoeker beweert dat de Torrents Time plugin, die is bedoeld om gebruikers te helpen streamen illegaal gekopieerde films en tv-content via hun webbrowser, is eigenlijk onzeker en kwetsbaar voor kwaadaardige activiteiten.
Andrew Sampson, een US-based security-onderzoeker en ontwikkelaar van Aurous en Strike, sloopte de Torrents Time plugin, die nu wordt gebruikt om inhoud van populaire torrent sites zoals The Pirate Bay, Kickass Torrents en de streaming software client Popcorn Time streamen.
Hij ontdekte de plugin bevatte een Trojaans paard dat in staat zou stellen aanvallers gebruikers tracker, kracht gebruiker specifieke torrents content streamen ze misschien niet willen om naar te kijken en zelfs het uitvoeren van cross-site scripting (XSS) aanvallen waarbij kwaadaardige code kan worden geïnjecteerd door een aanvaller en uitgevoerd vanaf een website. Plus, de plugin ook heeft blijkbaar root-toegang op het Max OSX besturingssysteem.
Maar Sampson is niet de enige die klagen over Torrents Time. Slipstream, een security-onderzoeker met LizardHQ – een informatie-denktank opgericht door ex-LulzSec hackers – heeft ook gepost een proof of concept voor een aantal van de gemelde problemen, alsmede een verslag over GitHub laten zien hoe Torrents Tijd samen zowel SSL-certificaten en bundelt private sleutels.
“In een kern, de belangrijkste bevindingen van dit rapport is dat Torrents Tijd is een privacy en veiligheid nachtmerrie, niet alleen hem open deelnemers tot drive-by-aanvallen, kan het gemakkelijk te openen gebruikers tot kwaadaardige downloads / gedwongen piraterij door iedereen die . kan hier schrijven een paar regels code een van de grote problemen is XSS, iets wat die u toelaat om JavaScript uit te voeren op iemand anders domain Dit kunt sites open te stellen voor het hebben van gebruikers gevoelige informatie gestolen of -. erger – het blootstellen van anonimiteit, “Sampson verteld IBTimes UK .
“Alle sites moeten een beetje meer hebben geanalyseerd -. Blindelings vertrouwen closed source producten is hoe je jezelf in een hoek Deze hele situatie maakt me slecht voelen sloot ik mijn zoekmachine Strike.”
Popcorn Time.ag waarschuwing gebruikers alleen hun versie te gebruiken
Torrents Time heeft erkend dat een aantal van de gemelde problemen zijn verontrustend en vertelde Torrent Freak dat zij de kwestie op 12 februari was opgelapt, maar ontkent dat het met opzet heeft geprobeerd om schade aan de gebruikers veroorzaken.
Het team achter één van de vorken van Popcorn Time, namelijk PopcornTime.ag, heeft een verklaring op Reddit waarschuwing het gebruik ervan te vrijgegeven hun versies van Popcorn Time patch op haar officiële website. Er is nog geen woord van de Europese vork PopcornTime.se.
“Dat is niet echt een verrassing, want we weten allemaal dat het dev team achter de rug, de schaduwrijke SE vork. Alles wat we hebben gezien van deze groep is Adware, een tracking service kwaadwillig verkocht als een gratis VPN en een closed source software”, popcorn time. ag ontwikkelaars schreef op Reddit .
“Onze vork is nu steeds georganiseerd. Onze gemeenschap is bereid om deze zekerheid puinhoop op te lossen. De binaries zijn hot.”
Maar Torrents Time verwerpt Sampson analyse en zegt dat jaloezie is achter de aanval op de plugin.
