Um dos mais populares – e controversos – serviços de streaming de filmes, o Popcorn Time pode tornar seus usuários alvos fáceis para hackers. Recentemente, o engenheiro de segurança e pesquisador Antonios Chariton (também conhecido pelo apelido DaKnOb) divulgou a descoberta de uma vulnerabilidade bastante significativa no aplicativo.
Segundo o especialista, o achado aconteceu depois que ele reparou no tráfego de dados iniciado pelo Popcorn Time enquanto configurava o firewall de seu computador. Ao reparar em algo incomum, Chariton pensou na grande quantidade de amigos e conhecidos que ele sabia terem instalado o app em seus computadores pessoais e decidiu que valia a pena investigar mais.
Observando as informações do serviço, o engenheiro descobriu que os desenvolvedores do Popcorn Time usaram a infraestrutura da CloudFlare para evitar serem bloqueados na Europa, de forma que os provedores do velho continente teriam que fechar o acesso a toda essa rede para conseguir impedir o app. A vulnerabilidade acontece quando o computador tenta entrar em contato com o sistema.
Alvo fácil
Segundo Chariton, o “pedido para o CloudFlare é iniciado por meio de uma conexão HTTP simples”, o que permitiria que um invasor simplesmente se intrometesse na comunicação para atacar o computador das vítimas. Usando esse método, o especialista conseguiu injetar códigos maliciosos por meio do próprio app, tomando assim controle do Popcorn Time e abrindo portas para dominar completamente o PC do alvo.
“O HTTP não é seguro. Não há nada que vocês possam fazer para mudar isso. Por favor, usem o HTTPS em tudo, especialmente em aplicativos, que não rodem dentro de um navegador. Em segundo lugar, higienizem seu input. Mesmo que recebam dados por TLS v11.2 usando um Certificado de Autenticação de Cliente, isso ainda não é seguro! Sempre realizem checagens da resposta do servidor no lado dos usuários”, recomenta o especialista aos desenvolvedores.
De acordo com Chariton, levou apenas uma hora para que ele encontrasse a vulnerabilidade, criasse um plano para se aproveitar dela e escrevesse os códigos necessários. O especialista vem debatendo a falha com os criadores do Popcorn Time no GitLab do site – clique aqui para conferir.
Você está atento para os riscos de serviços como o Popcorn Time? Comente no Fórum do TecMundo
Fontes
Categorias