Lek in Popcorn Time liet MiTM-aanvaller computers overnemen
Een beveiligingslek in de populaire videostreamingdienst voor films en tv-series Popcorn Time maakte het mogelijk voor een aanvaller om computers in het ergste geval volledig over te nemen. Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.
Het ging in totaal om twee problemen. Ten eerste bleek de applicatie via HTTP verbinding met het content delivery network (CDN) van Cloudflare te maken. Een aanvaller kon via een Man-in-the-Middle-aanval het verzoek van en naar Cloudflare aanpassen. Daarnaast werd de geldigheid van de ontvangen data niet gecontroleerd. Verder bleek dat Popcorn Time deze twee fouten ook in een NodeJS-applicatie maakte.
Een aanvaller kon daardoor cross-site scripting-aanvallen uitvoeren, bestanden op de computer lezen en uiteindelijk willekeurige code uitvoeren. In het geval een aanvaller in staat is zijn lokale rechten te verhogen, zou hij zelfs rootrechten op het systeem kunnen krijgen. Nadat Chariton Popcorn Time inlichtte kwam de streamingdienst een dag later met een oplossing.
Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.
Dat komt in de praktijk dus bijna alleen voor bij gebruik van een wifi-hotspot.
Een aanvaller moest zich in dit geval wel tussen de gebruiker en het internet bevinden, aldus onderzoeker Antonios Chariton die de kwetsbaarheid ontdekte.
Dat komt in de praktijk dus bijna alleen voor bij gebruik van een wifi-hotspot.
De kans is inderdaad kleiner, maar ook als je in de buurt bent van een vertrouwd WiFi access point (thuis bijvoorbeeld) kan een aanvaller jouw "device" (PC, tablet, smartphone, ...) ervan overtuigen gebruik te maken van een ander WiFi access-point (public) - voor zover dat in jouw device is opgeslagen.
Als een ander device in een netwerk "onderweg" (dus ook jouw lokale netwerk) is gehacked kan deze wellicht ook een omleiding via dat gehackte device forceren (bijv. d.m.v. ARP spoofing).
Daarnaast (ook kleine kans) kunnen aanvallers ook nog knoeien met routering (zie https://www.security.nl/posting/437378/Kamervragen+over+gekaapte+IP-adressen+Buitenlandse+Zaken).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.