image

Lek in Popcorn Time liet MiTM-aanvaller computers overnemen

dinsdag 4 augustus 2015, 10:23 door Redactie, 4 reacties

Een beveiligingslek in de populaire videostreamingdienst voor films en tv-series Popcorn Time maakte het mogelijk voor een aanvaller om computers in het ergste geval volledig over te nemen. Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.

Het ging in totaal om twee problemen. Ten eerste bleek de applicatie via HTTP verbinding met het content delivery network (CDN) van Cloudflare te maken. Een aanvaller kon via een Man-in-the-Middle-aanval het verzoek van en naar Cloudflare aanpassen. Daarnaast werd de geldigheid van de ontvangen data niet gecontroleerd. Verder bleek dat Popcorn Time deze twee fouten ook in een NodeJS-applicatie maakte.

Een aanvaller kon daardoor cross-site scripting-aanvallen uitvoeren, bestanden op de computer lezen en uiteindelijk willekeurige code uitvoeren. In het geval een aanvaller in staat is zijn lokale rechten te verhogen, zou hij zelfs rootrechten op het systeem kunnen krijgen. Nadat Chariton Popcorn Time inlichtte kwam de streamingdienst een dag later met een oplossing.

Reacties (4)
04-08-2015, 10:59 door [Account Verwijderd]
[Verwijderd]
04-08-2015, 11:03 door N4ppy
Door Muria:
Artikel:
Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.

Dat komt in de praktijk dus bijna alleen voor bij gebruik van een wifi-hotspot.
Of een nationale veiligheids instantie in iran, syrie, usa?
04-08-2015, 13:54 door Erik van Straten
04-08-2015, 11:03 door Muria:
Artikel:
Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.

Dat komt in de praktijk dus bijna alleen voor bij gebruik van een wifi-hotspot.
Of als de door jou gebruikte DNS server(s) niet te vertrouwen zijn, zoals in 2012 bij 4,5 miljoen modems van Brazilianen het geval was (bron: https://securelist.com/analysis/publications/57776/the-tale-of-one-thousand-and-one-dsl-modems/). En niet alleen door Brazilianen gebruikte modems zijn lek en/of van een standaard admin wachtwoord voorzien.

De kans is inderdaad kleiner, maar ook als je in de buurt bent van een vertrouwd WiFi access point (thuis bijvoorbeeld) kan een aanvaller jouw "device" (PC, tablet, smartphone, ...) ervan overtuigen gebruik te maken van een ander WiFi access-point (public) - voor zover dat in jouw device is opgeslagen.

Als een ander device in een netwerk "onderweg" (dus ook jouw lokale netwerk) is gehacked kan deze wellicht ook een omleiding via dat gehackte device forceren (bijv. d.m.v. ARP spoofing).

Daarnaast (ook kleine kans) kunnen aanvallers ook nog knoeien met routering (zie https://www.security.nl/posting/437378/Kamervragen+over+gekaapte+IP-adressen+Buitenlandse+Zaken).
04-08-2015, 13:56 door Anoniem
Tja, ergens besluipt me het idee dat Popcorn Time vrij hard ingezet kan worden als botnet. Wordt op vrij veel systemen gebruikt, meer denk ik dan individuele bittorrent clients. Reële kans? Weet ik niet, maar wel veel gebruikers/systemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.