Een beveiligingslek in de populaire videostreamingdienst voor films en tv-series Popcorn Time maakte het mogelijk voor een aanvaller om computers in het ergste geval volledig over te nemen. Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.
Het ging in totaal om twee problemen. Ten eerste bleek de applicatie via HTTP verbinding met het content delivery network (CDN) van Cloudflare te maken. Een aanvaller kon via een Man-in-the-Middle-aanval het verzoek van en naar Cloudflare aanpassen. Daarnaast werd de geldigheid van de ontvangen data niet gecontroleerd. Verder bleek dat Popcorn Time deze twee fouten ook in een NodeJS-applicatie maakte.
Een aanvaller kon daardoor cross-site scripting-aanvallen uitvoeren, bestanden op de computer lezen en uiteindelijk willekeurige code uitvoeren. In het geval een aanvaller in staat is zijn lokale rechten te verhogen, zou hij zelfs rootrechten op het systeem kunnen krijgen. Nadat Chariton Popcorn Time inlichtte kwam de streamingdienst een dag later met een oplossing.
Deze posting is gelocked. Reageren is niet meer mogelijk.