„Google Project Zero“ kibernetinio saugumo tyrėjai tvirtina, kad programoje „Transmission BitTorrent“ yra neužtaisyta „nulinės dienos“ saugumo spraga, leidžianti kai kurių vartotojų kompiuteriuose vykdyti aplankytose interneto svetainėse esantį kodą, leidžiantį užvaldyti kompiuterius, rašo „Ars Technica“.
Įspėjama, kad ta pati saugumo spraga veikiausiai yra ir kitose „torent“ tipo rinkmenas siųsti galinčiose programose. Kibernetinio saugumo ekspertas Travisas Ormandy praėjusią savaitę išplatino spragą patikrinantį „atakos kodą“ ir išsamų šios spragos aprašymą.
Paprastai „Project Zero“ tyrėjai informaciją apie tokia spragas laiko paslaptyje 90 dienų, kol programinės įrangos, kurioje yra saugumo skylė, kūrėjai sukuria reikiamus pataisymus. Konkrečiai šiuo atveju T. Ormandy privačioje ataskaitoje, kuri buvo perduota bendrovei „Transmission“, buvo ir pataisa, kuri visiškai užtaisė spragą. Tad tyrėjas antradienį – praėjus vos 40 dienų nuo sužinojimo apie spragą datos – informaciją paviešino, nors „Transmission“ programuotojai neišplatino vartotojų modulio atnaujinimui reikiamų papildymų. T. Ormandy tvirtina, kad jo pateiktas pataisymas „Ubuntu“ ir kitų panašių projektų naudotojams leistų atsinaujinti programą savarankiškai.
„Mane erzina, kad „Transmission“ kūrėjai neatsako į įrašus savo privačiame saugumo forume. Pasiūliau išviešinti šią informaciją, kad skirtingų sistemų naudotojai galėtų pataisą įsidiegti savarankiškai“, – sakė ekspertas. „Transmission“ kūrėjai žurnalistams nurodė, kad oficialaus spragos užtaisymo publikavimo tikimasi „artimiausiu metu“, tačiau tikslaus laiko nenurodė. Jų teigimu, spraga pasireiškia tik tuo atveju, kai vartotojai būna įjungę nuotolinę prieigą ir išjungę apsaugą slaptažodžiu.
Tad pirma apsaugos priemonė „Transmission BitTorrent“ vartotojams – kol kas neatnaujintą savo programos versijoje naudoti apsaugą slaptažodžio pavidalu. T. Ormandy spragos patikrinimo kode nusitaikyta į „Transmission“ funkciją, kuri vartotojams leidžia „BitTorrent“ programą valdyti per savo interneto naršyklę.
Tyrėjas tvirtina, kad daugelis vartotojų apsaugos slaptažodžio nenaudoja, nes jiems būna susidaręs klaidingas įspūdis, jog JSON RPC sąsają valdyti gali tik asmuo, turintis fizinę prieigą prie kompiuterio su „Transmission“ programa. Tačiau pritaikius programišiams žinomą atakos būdą, vadinamą „DNS rebinding“, T. Ormandy rado būdą nuotoliniu būdu užvaldyti „Transmission“ sąsają, kai tik pažeidžiamas vartotojas apsilanko svetainėje, kurioje yra piktybinis kodas.
Eksperto teigimu, patvirtinta, kad spragos išnaudojimas veikia „Chrome“ bei „Firefox“ naršyklėse, „Windows“ bei „Linux“ operacinėse sistemose, be to, veikiausiai tas pats galioja ir kitoms platformoms bei naršyklėms. T. Ormandy teigimu, piktybiniai programišiai tokiu būdu gali į aukos kompiuterį persiųsti rinkmeną, kurios turinys būtų vykdomas automatiškai. O spragos išnaudojimas yra „santykinai mažo sudėtingumo, dėl ko siekiama, kad savo programas atsinaujintų visi“, – sakė saugumo ekspertas.
Socialiniame tinkle „Twitter“ T. Ormandy nurodė, jog tai yra tik pirma iš daugelio nuotolinio kodo vykdymo spragų populiariose „torrent“ rinkmenų siuntimo programose – kitų programų pavadinimų jis veikiausiai neminėjo dėl to, kad nesibaigė 90 dienų periodas, suteikiamas spragoms užtaisyti.
Ir nors jo pranešimas labiausiai skirtas „Transmission“ naudotojams, „DNS rebinding“ tipo ataka gali būti taikoma labai plačiai, skirtingoms „torrent“ programoms.