4

Przez tę dziurę w uTorrent Twój komputer może stać się czyjąś koparką bitcoinów

Jeden z najpopularniejszych (jeśli nie najpopularniejszy) klient sieci BitTorrent może stać się przyczyną poważnych problemów z naszym komputerem. Wykryta luka w zabezpieczeniach programu daje cyberprzestępcom spore pole do popisu.

Na ślad błędu wpadł jeden z pracowników Google Project Zero. Jego zdaniem, luka stanowi zagrożenie zarówno dla posiadaczy desktopowej wersji uTorrenta jak i użytkowników webowego klienta. W rezultacie każda złośliwa witryna, której autorzy wykorzystają ten błąd, ma pełny dostęp do funkcji programu. Może np. zdalnie umieścić w autostarcie naszego komputera pliki wykonawcze, które przekształcą go w koparkę bitcoinów albo całkowicie zablokują, żądając okupu (w przypadku ataków typu ransomware).

Warto odnotować też fakt, że witryny tego typu mogą też mieć dostęp do historii pobierania, a także samych plików które za pomocą BitTorrent pobrał użytkownik. Wydaje się to być idealną sytuacją nie tylko dla hakerów, ale tez organizacji walczących z piractwem, które, bazując na tej luce, mogą złapać sprawców na gorącym uczynku.

Twórcy aplikacji dość szybko zareagowali na problem, łatając lukę w wersji beta oznaczonej numerem 3.5.3.44352. Póki co nie trafiła ona jednak do wszystkich użytkowników. Rozwiązania są zatem dwa – przesiąść się na wersję beta lub poczekać na to, aż będzie stabilna. To samo dotyczy uTorrent Web, którego poprawiona wersja nosi numer 0.12.0.502.

W sieci znajdziemy natomiast proof-of-concept (tutaj i tutaj dwa kolejne), które Tavis Ormandy odpowiedzialny za odkrycie luki przygotował. Dzięki nim możecie na własnej skórze przekonać się, jak działa atak i co można za jego pomocą zrobić.

To nie pierwszy raz, kiedy Google Project Zero ujawnia krytyczne luki w oprogramowaniu innych firm. Wcześniej badacze z tego projektu ujawnili błędy Meltdown i Spectre, co odbiło się głośnym echem w branży i mocno wpłynęło na m.in. wizerunek oraz ceny akcji Intela.

 

źródło: ArsTechnica