Un bug dans le client Torrent Transmission, permet à un attaquant de contrôler le PC à distance
Une vulnérabilité critique vient d’être découverte dans l’ application BitTorrent , Transmission, qui pourrait permettre à un attaquant potentiel d’exécuter à distance du code malveillant sur les ordinateurs des utilisateurs utilisant le client et d’en prendre le contrôle.
Cette faille de sécurité a été découverte par l’ équipe Project Zero de Google et l’un de ses chercheurs, Tavis Ormandy , a également publié un test d’attaque à peine 40 jours après le rapport initial. Supposons qu’en règle générale, Project Zero divulgue publiquement les vulnérabilités 90 jours après qu’elles ont été signalées aux personnes concernées ou lorsqu’un correctif a été publié. Cependant, dans ce cas, les chercheurs ont révélé la vulnérabilité 50 jours avant la date limite en raison du fait que les développeurs de Transmission n’ont pas publié le correctif fourni par les chercheurs eux-mêmes il y a plus d’un mois.
Et est-ce que ces experts en sécurité trouvent frustrant que les développeurs de Transmission ne répondent pas à leurs suggestions une fois que la vulnérabilité est découverte, et ne prennent pas non plus la peine d’appliquer le correctif . Pour toutes ces raisons, ils ont publié le bogue ainsi qu’un test qui exploite une fonction Transmission et qui permet aux attaquants de contrôler le client BitTorrent mentionné depuis leur navigateur web . En fait, il a été confirmé que cela peut être effectué dans Chrome et Firefox , à la fois sous Windows et Linux .
Gardez à l’ esprit que l’application de transmission fonctionne basée sur un client / serveur l’ architecture , où les utilisateurs doivent installer un service « démon » sur leurs systèmes pour accéder au Web- basé l’ interface dans leur navigateur localement. Par conséquent, ce «démon» installé sur le système de l’utilisateur interagit avec le serveur pour télécharger et télécharger des fichiers via le navigateur.
Alternatives à la transmission
On a ainsi découvert qu’une technique de piratage pouvait exploiter avec succès cette implémentation, permettant à tout site Web malveillant visité par l’utilisateur d’exécuter à distance des logiciels malveillants sur l’ ordinateur local , le tout avec «l’aide» du service «démon» installé.
Pour tout cela, peut-être devrions-nous envisager la possibilité de changer de client torrent dans le cas où nous utiliserions Transmission de manière régulière pour pouvoir travailler avec lui de manière un peu plus sécurisée. Sur le marché actuel, dans ce secteur particulier, on peut trouver plusieurs alternatives disponibles pour utiliser les réseaux P2P sans aucun problème et aussi gratuitement .
Parmi ceux-ci, nous pouvons souligner les logiciels les plus populaires de ce type uTorrent , en plus de qBittorrent , Vuze, Deluge ou BitComet ; tous effectuent une tâche très similaire à celle de la transmission susmentionnée et que vous pouvez télécharger à partir de leurs sites Web officiels .