Se acaba de descubrir una vulnerabilidad crítica en la aplicación de BitTorrent Transmission, que podría permitir a un atacante tomar el control de un ordenador ejecutando un código malicioso remotamente.
Este fallo de seguridad ha sido descubierto por el equipo Project Zero de Google y uno de sus investigadores, Tavis Ormandy, también ha publicado un ataque a modo de prueba solo 40 días después del informe inicial. Cabe destacar que por regla general, Project Zero revela públicamente las vulnerabilidades 90 días después de haberlas reportado a los afectados, o cuando se ha liberado un parche. Sin embargo, en este caso los investigadores revelaron la vulnerabilidad 50 días antes del límite de tiempo debido a que los desarrolladores de Transmission no han lanzado el parche proporcionado por los propios investigadores hace más de un mes.
Y es que estos expertos en seguridad consideran que es frustrante que los desarrolladores de Transmission no respondan a sus sugerencias una vez encontrada la vulnerabilidad, y además no se molesten en aplicar el parche. Por todo ello han publicado el fallo así como una prueba que explota una función de Transmission y que permite a los atacantes controlar el cliente BitTorrent mencionado desde su navegador web. De hecho se ha confirmado que esto se puede llevar a cabo en Chrome y Firefox, tanto en Windows como en Linux.
Hay que tener en cuenta que la aplicación Transmission funciona en base a una arquitectura cliente / servidor, donde los usuarios tienen que instalar un servicio “daemon” en sus sistemas para acceder a la interfaz basada en la web en sus navegadores de manera local. Por tanto, este “daemon” instalado en el sistema del usuario, interactúa con el servidor para descargar y subir archivos a través del navegador.
Este fallo de seguridad ha sido descubierto por el equipo Project Zero de Google y uno de sus investigadores, Tavis Ormandy, también ha publicado un ataque a modo de prueba solo 40 días después del informe inicial. Cabe destacar que por regla general, Project Zero revela públicamente las vulnerabilidades 90 días después de haberlas reportado a los afectados, o cuando se ha liberado un parche. Sin embargo, en este caso los investigadores revelaron la vulnerabilidad 50 días antes del límite de tiempo debido a que los desarrolladores de Transmission no han lanzado el parche proporcionado por los propios investigadores hace más de un mes.
Y es que estos expertos en seguridad consideran que es frustrante que los desarrolladores de Transmission no respondan a sus sugerencias una vez encontrada la vulnerabilidad, y además no se molesten en aplicar el parche. Por todo ello han publicado el fallo así como una prueba que explota una función de Transmission y que permite a los atacantes controlar el cliente BitTorrent mencionado desde su navegador web. De hecho se ha confirmado que esto se puede llevar a cabo en Chrome y Firefox, tanto en Windows como en Linux.
Hay que tener en cuenta que la aplicación Transmission funciona en base a una arquitectura cliente / servidor, donde los usuarios tienen que instalar un servicio “daemon” en sus sistemas para acceder a la interfaz basada en la web en sus navegadores de manera local. Por tanto, este “daemon” instalado en el sistema del usuario, interactúa con el servidor para descargar y subir archivos a través del navegador.
Alternativas a Transmission
Así se descubrió que una técnica de piratería podría explotar con éxito esta implementación, permitiendo que cualquier sitio web malicioso que visite el usuario, ejecute un malware en el equipo local de forma remota, todo ello con la «ayuda» del servicio “daemon” instalado.
Por todo ello quizá debamos plantearnos la posibilidad de cambiar de cliente torrent en el caso de que usemos Transmission de manera habitual para poder funcionar con el mismo de un modo algo más seguro. En el mercado actual, en este sector en concreto, podemos encontrar varias alternativas disponibles para usar las redes P2P sin problema alguno e igualmente gratuitos.
Entre estos podemos destacar el más que popular software de este tipo uTorrent, además de qBittorrent, Vuze, Deluge o BitComet; todos ellos haciendo un cometido muy similar al del mencionado Transmission y que puedes descargar desde sus webs oficiales.
Fuente: softzone.es
