滚动
财经>财经要闻

爆米花时间黑客通过电影Torrent软件找到传播恶意软件的方法

2019-08-22

爆米花时间黑客通过电影Torrent软件找到传播恶意软件的方法

Popcorn Time screen June 18
快速浏览Popcorn Time的主页显示,虽然网站看起来很漂亮,但页面上最新的电影几个月前已经发布。 此图片来自2015年6月。 照片:爆米花时间

随着更受欢迎,需要更好的在线安全性。 Popcorn Time发现,当网络安全研究人员将恶意代码注入盗版软件时,可能会使成千上万的用户面临风险。

希腊网络安全研究员Antionios Chariton 他在PopcornTime.io中发现了许多严重的缺陷,这可能是最受欢迎的盗版软件版本。 Popcorn Time是一个松散附属网站,使用户可以通过明亮,干净的界面将电影种子直接下载到他们的计算机上,这种界面看起来更像是一个合法的流光,而不是 。

或者似乎,直到Chariton通过利用其HTTP和NodeJS协议来创建一个XSS安全漏洞来制作Popcorn Time的软件。

“这实际上是运行爆米花时间的计算机上的远程执行代码,”Chariton告诉TorrentFreak。 “我们注入了恶意JavaScript,客户端应用程序执行了代码。 使用这种攻击,我们可以显示虚假的消息,甚至可以做更聪明的事情。 由于应用程序是用NodeJS编写的,如果发现XSS漏洞,您就可以控制整个应用程序。“

目前尚不清楚有多少(如果有的话)其他Popcorn Time版本包含此漏洞。

“这次攻击要求攻击者要么在本地网络内部,在主机内部,要么已经毒害了[域名系统]服务器,”Popcorn Time管理员告诉TorrentFreak。 “无论如何,有更多有价值的攻击,而不仅仅是打爆米花时间。 例如,特别是因为它不会与提升的priveleges一起运行,也不会让攻击者安装新的程序。“


载入中...

责任编辑:申斐