BitTorrent ist eine weit verbreitete Übertragungs-App, die zum Übertragen großer Dateien verwendet wird, z. B. digitale Videodateien mit Fernsehsendungen/Filmen oder Videoclips oder digitale Audiodateien mit Liedern. Es bleibt eine Hauptunterhaltungsquelle für einen großen Teil der Leute, die das Internet nutzen. Aber kürzlich entdeckte das Project Zero-Team von Google einen „kritischen Fehler“ in der BitTorrent-App, der es Hackern ermöglichen könnte, bösartigen Code aus der Ferne auf den Computern von BitTorrent-Benutzern auszuführen und die Kontrolle über sie zu übernehmen.
Laut Tavis Ormandy, dem Sicherheitsforscher, der den Fehler aufgedeckt hat, liegt der Fehler in der Übertragungsfunktion vor, mit der Benutzer die BitTorrent-App über ihren Webbrowser steuern können. Er warnte auch davor, dass BitTorrent-Clients ebenfalls anfällig für den Fehler sind. Am Montag twitterte er über den Fehler als:
Der erste von einigen Fehlern bei der Remote-Codeausführung in verschiedenen beliebten Torrent-Clients ist hier eine DNS-Rebinding-Schwachstelle Übertragung, die zu einer willkürlichen Remote-Codeausführung führt. https://t.co/kAv9eWfXlG
- Tavis Ormandy (@taviso) 11. Januar 2018
Laut Ormandys Angriffsnachweis kann die Transmission-Schnittstelle mithilfe einer Hacking-Technik namens Domain Name System Rebinding ferngesteuert werden, wenn ein gefährdeter Benutzer eine bösartige Website besucht. Ormandy gibt an, dass dieser Fehler bei gängigen Webbrowsern wie Chrome und Firefox funktioniert und auf beide zutrifft Linux.
Gemäß seinem Exploit können Angreifer die Kontrolle über die Systeme von Benutzern übernehmen, indem sie einen DNS-Namen erstellen, mit dem sie kommunizieren dürfen, und diesen dann in den lokalen Hostnamen des anfälligen Computers auflösen.
Letzte Woche veröffentlichten die Forscher von Project Zero den Proof-of-Concept-Angriffscode. Es ist erwähnenswert, dass Project Zero normalerweise 90 Tage lang oder bis zur Veröffentlichung des Fixes davon Abstand nimmt, die Details solcher Fehler öffentlich zu machen. In diesem Fall wurde der Fehler jedoch erst 40 Tage nach der Erstmeldung bekannt.
Ormandy und Googles Project Zero waren gezwungen, Details über den Fehler an die Öffentlichkeit zu bringen, da die Übertragungsentwickler von BitTorrent es anscheinend nicht geschafft haben, ihn zu patchen, obwohl sie vor mehr als 40 Tagen benachrichtigt wurden.
„Ich finde es frustrierend, dass die Übertragungsentwickler nicht auf ihre private Sicherheitsliste antworten. Ich habe vorgeschlagen, dies in die Öffentlichkeit zu stellen, damit Distributionen den Patch unabhängig anwenden können.“ Ormandy schrieb in seinem Bericht.
Es wird erwartet, dass so bald wie möglich ein Fix veröffentlicht wird, sagte ein Entwicklungsbeamter von Transmission gegenüber ArsTechnica. Ein konkretes Datum wurde jedoch nicht genannt.
