Die Schwachstelle Popcorn Time könnte es Hackern ermöglichen, Ihren Computer zu übernehmen

Sicherheit

Die Schwachstelle Popcorn Time könnte es Hackern ermöglichen, Ihren Computer zu übernehmen

Eine der beliebtesten Film-Streaming-Apps im Internet könnte ein Hauptziel für Hacker sein. Montags, TorrentFreakgeteilt ein Bericht von Antonios Chariton (alias DaKnOb), einem Sicherheitsingenieur und Forscher, der eine große Schwachstelle in einer der beliebtesten Abzweigungen von Popcorn Time entdeckte.

WEITERLESEN:Windows 10 spioniert fast alles aus, was Sie tun – so können Sie sich abmelden

„Es gibt zwei Gründe, warum ich mich mit Popcorn Time befasst habe“, sagte Chariton. „Erstens kenne ich viele Leute, die diese Anwendung auf ihren PCs installiert haben und verwenden, und zweitens aus purem Zufall: Ich richtete gerade meine Computer-Firewall ein, als ich den von Popcorn Time initiierten Netzwerkverkehr bemerkte.“

Um die Blockierung in Europa zu umgehen, nutzen die Entwickler von Popcorn Time grundsätzlich die CloudFlare-Infrastruktur, was bedeuten würde, dass europäische ISPs theoretisch das gesamte CloudFlare-Netzwerk blockieren müssten, um den Zugriff auf Popcorn Time effektiv zu unterbinden.

Leider „wird die Anfrage an Cloudflare über einfaches HTTP initiiert“, was laut Chariton einem Eindringling ermöglichen könnte, einen Man-in-the-Middle-Angriff auf den Computer des Hosts zu initiieren. Scheinbar ohne großen Aufwand konnte Chariton selbst Schadcode über die App einschleusen und so die Kontrolle über die Anwendung übernehmen.

Aber nicht alles ist verloren, vorausgesetzt, die Entwickler sind bereit, dem Rat des Forschers zu folgen:

„HTTP ist unsicher. Daran können Sie nichts ändern. Bitte verwenden Sie überall HTTPS, insbesondere in Anwendungen, die nicht in einem Webbrowser ausgeführt werden. Zweitens, bereinigen Sie Ihre Eingabe. Selbst wenn Sie etwas über TLS v1.2 mit einem Client-Zertifikat erhalten, ist es immer noch nicht sicher! Führen Sie immer clientseitige Überprüfungen der Serverantwort durch.“

Chariton brauchte eine Stunde, um diese Schwachstelle zu finden, einen Plan zu entwickeln, wie sie ausgenutzt werden kann, und den erforderlichen Code zu schreiben. Dies ist eindeutig ein Problem, das sofortige Aufmerksamkeit erfordert. Es gibt eine laufende Diskussion zwischen Chariton und den Entwicklern auf dem GitLab der Website .