На днях на Geektimes была опубликована новость о появлении плагина к браузеру, который позволяет смотреть видео с торрент-трекеров прямо в обозревателе. Называется этот плагин Torrents Time, и в считанные дни он стал очень популярным. Тем не менее, этот плагин опасен для пользователя, считают некоторые специалисты по информационной безопасности.
В частности, разработчик Эндрю Семпсон (Andrew Sampson) утверждает, что плагин уязвим для широкого ряда хакерских атак, начиная от XSS и заканчивая MitM. По словам Семпсона, в плагине некорректно реализован механизм безопасности CORS (Cross-Origin Resource Sharing), предотвращающий загрузку ресурсов с сайтов злоумышленников.
Это означает, что злоумышленник может создать веб-страницу, похожую на сайт самого плагина, и разместить здесь malware ПО, которое сработает в браузере жертвы с установленным плагином Torrents Time. На такой фейковой странице можно разместить и собственный плеер, который будет показывать пользователю те фильмы, которые ищет жертва. Видео будет показываться, но в то же самое время на ПК пользователя будет устанавливаться зловредное программное обеспечение.
Кроме того, специалист обнаружил, что JavaScript код с сайта злоумышленника сможет обратиться к серверу Node.js Torrents Time для получения информации о пользователе. Подобный механизм могут использовать не только «черные» хакеры, но и рекламодатели. Последние без проблем получат список пользователей с установленным плагином Torrents Times, и соберут информацию о таких пользователях, для показа релевантной рекламы. А сервера Torrents Time отслеживают действия пользователей и собирают информацию о них (IP, местоположение, user agent, кукис, просматриваемые торренты и т.п.).
Пользователи Mac тоже уязвимы
Как оказалось, пользователи Mac также уязвимы для атак, если используют плагин Torrents Time. Дело в том, что приложение Torrents Time запускается с root правами, что открывает широкие возможности для злоумышленников, планирующих осуществить атаки на Mac- пользователей. В частности, существует вероятность установки malware на Mac пользователей с плагином. Дело в том, что ПО Torrents Time позволяет злоумышленнику отправлять команду на обновление плагинов браузера. Этот процесс может быть изменен самим злоумышленником, и вместо плагина будет загружен файл с сервера хакера.
Также злоумышленники могут использовать зловредный JS скрипт для увеличения нагрузки на процессор машины, что приведет к сбою в работе или отказу Torrents Time.
XSS на The Pirate Bay и Kickass Torrents
Вдобавок ко всему, злоумышленники могут использовать XSS эксплоиты на стороне The Pirate Bay. И файл tt.php плагина Torrents Time работает с доменом «пиратов» напрямую. Это означает, что атакующие могут получать кукисы жертвы, при желании.
Страница с плеером Torrents Time и эксплоитом
Эндрю Семпсон считает, что плагин очень «дырявый», подвержен большому количеству атак и уязвимостей. Поэтому сейчас пользоваться плагином специалист не рекомендует, советуя подождать, пока все названные выше проблемы не будут исправлены разработчиками.
Свои наработки, созданные в ходе изучения плагина, Семпсон разместил здесь.