English Ich weiß nicht, ob noch jemand meiner Blog-Leser/innen Bittorrent über den uTorrent-Client oder den Web-Client verwendet. Aktuell sollte man die diversen Clients aus Sicherheitsgründen nicht mehr einsetzen.
Anzeige
Tavis Ormandy, Sicherheitsforscher bei Google, hat sich die Clients vorgenommen und warnt in diesem Bug-Report beim Chromium-Projekt vor deren Verwendung. Tavis schreibt:
Standardmäßig erstellt utorrent einen HTTP-RPC-Server auf Port 10000 (uTorrent classic) oder 19575 (uTorrent web). Es gibt zahlreiche Probleme mit diesen RPC-Servern, die von jeder Website mit Hilfe von XMLHTTPRequest() ausgenutzt werden können. Um es deutlich zu machen, reicht es aus, *jede* Website zu besuchen, um diese Anwendungen zu kompromittieren.
Im Anschluss geht er in seinem Dokument auf die uTorrent-Clients ein. Hier ein paar Informationen auf Deutsch.
uTorrent web (web.utorrent.com)
uTorrent Web ist ein Webinterface, über welches man per Browser (im Gegensatz zum Desktop-Client) auf Bittorrent-Inhalte zugreifen kann. Standardmäßig ist uTorrent Web so konfiguriert, dass es mit Windows gestartet wird, so dass es immer ausgeführt und zugänglich ist. Zur Authentifizierung wird ein Zufalls-Token generiert und in einer Konfigurationsdatei gespeichert. Dieses Token muss bei allen Anfragen als URL-Parameter übergeben werden.
Klickt der Nutzer das uTorrent-Taskleistensymbol, öffnet sich ein Browserfenster, in dem das Authentifizierungstoken bereits in der URL eingetragen ist. Das sieht dann so aus:
http:[//]127.0.0.1:19575/gui/index.html?localauth=localapic3cfe21229a80938
Trotz des 8 Byte-Codes, schreibt Ormandis, wäre es nicht trivial, einen Remote-Angriffe zu fahren. Allerdings sind die Informationen zur Authentifizierung in webroot gespeichert. Es erfordert nur einige einfache DNS-Rebinding-Angriffe, um Remote auf diese Informationen zuzugreifen. Sobald der Angreifer diese Information hat, kann er aber einfach das Verzeichnis ändern, in dem Torrents gespeichert sind. Sprich: Es ließen sich beliebige Dateien (die beschreibbar sind) vom Rechner des Opfers abziehen. Dazu reicht es, den Benutzer auf eine präparierte Webseite zu locken.
uTorrent Classic-Client
Wer statt des Web-Clients den uTorrent-Client für den Desktop einsetzt, läuft ebenfalls in Probleme. Standardmäßig erstellt utorrent Classic einen JSON RPC-Server auf Port 10000. Ormandy ist sich unschlüssig darüber, dass dieser absichtlich über das Internet erreichbar ist, da man zahlreiche Abstürze des Clients provozieren kann. Er hat eine Testseite zur Demonstration aufgesetzt.
Bei der Analyse fiel Ormandy jedoch auf, dass der /proxy/-Handler standardmäßig aktiviert und im Web exponiert ist. Dies ermöglicht es jeder Website, alle heruntergeladenen Dateien aufzulisten und zu kopieren. Jede Website, die Nutzer besuchen, kann jeden Torrent, den diese heruntergeladen haben, lesen und kopieren. Dies funktioniert mit der Standardkonfiguration.
Anzeige
Unterm Strich: Mit den Clients ist das System offen wie ein Scheunentor für Angreifer. Zudem gibt Ormandy an, dass die Binärdatei utorrent ASLR und /GS deaktiviert, keine wirklich gute Idee im Hinblick auf die Sicherheit (siehe auch Warnung: Auf 7-Zip verzichten). Auf der Chromium-Bug-Webseite kann man die Entwicklung verfolgen. Eine 3.5.3 Beta des Desktop-Clients ist wohl verfügbar und soll die Sicherheitslücken schließen. Der Web-Client ist immer noch angreifbar. Einige Information sind auch in diesem Artikel bei heise.de nachzulesen.
Ergänzung: Der Desktop-Client scheint das Problem in der Version 3.5.3.44352 gefixt zu haben.
2015
