PIRATKOPIER: Popcorn Time er blitt en populær tjeneste for å streame piratkopiert film, men medfører sikkerhetsrisiko. Foto: SKJERMDUMP
PIRATKOPIER: Popcorn Time er blitt en populær tjeneste for å streame piratkopiert film, men medfører sikkerhetsrisiko. Foto: SKJERMDUMPVis mer

Oppdaget sikkerhetshull i Popcorn Time

Alvorlig sikkerhetsbrist oppdaget av blogger.

(Dagbladet): Appen Popcorn Time lar brukerne streame piratkopierte filmer og tv-programmer gratis i et Netflix-liknende brukergrensesnitt, og har - til filmbransjens høylydte protester - blitt enormt populær på kort tid.

Nå viser det seg at de som har installert og brukt tjenesten har eksponert seg for hackere. I verste fall kunne uvedkommende utnytte en sikkerhetsbrist i programmet som lar dem ta over datamaskinen din fullstendig, skriver Torrentfreak.

OPPDATERING: Popcorn Times utviklere tilbakeviser at det er mulig for hackere å gjøre såkalte mellommann-angrep via Popcorn Time - med mindre hackeren er tilkoplet ditt trådløse nettverk. De medgir at sikkerhstbristen gjør det mulig å infisere datamaskiner med skadelig programvare, men jobber med å utbedre feilen.

Usikret Det er dataingeniøren og forskeren Antonios A. Chariton på Kreta som har oppdaget og blogget om bristen, som nå diskuteres heftig av Popcorn Times hær av frivillige programmerere.

Som Chariton påpeker eksisterer tjenesten i en rekke forskjellige varianter på forskjellige steder på nettet, og det er uvisst hvor mange og hvilke av dem som er åpne for hackere.

Ifølge ham skyldes sikkerhetsbristen av Popcorn Time bruker infrastrukturen Cloudflare for å unngå å bli sperret av europeiske nett-tilbydere.

Kommunikasjonen mellom programmet og Cloudflare skjer på en usikret måte som gjør at hackere kan plassere seg selv som mellommenn.

Angrep Chariton har demonstrert bristen ved å gå inn og endre tittelen på filmer i Popcorn Time-systemet og infisert appen med ondsinnet programvare.

- Ved å angripe på denne måten kan vi vise falske statusmeldinger eller til og med kontrollere hele applikasjonen, sier han til Torrentfreak.

- Dette er i sin essens Remote Code Execution på datamaskinen som kjører Popcorn Time. Du kan gjøre hva som helst som datamaskinens bruker også kan, hevder Chariton.