Popcorn Time, el “Netflix de las pelis piratas”, permite a los hackers tomar el control del ordenador
Un investigador griego especializado en seguridad
informática, Antonios Chariton, ha sido el primero en descubrir una
vulnerabilidad contenida en Popcorn Time, el servicio web que pone a
disposición de sus usuarios contenidos audiovisuales al estilo de Netflix pero
con películas pirateadas. La grieta de seguridad permitiría asumir el control
de un ordenador sin consentimiento de su propietario.
Para ello se interceptarían los datos que envían y reciben los dos ordenadores intervinientes en la comunicación, el del usuario de Popcorn Time y el servidor de este servicio, intercambiando los datos enviados por otros que contendrían el código malicioso que permitiría el acceso al equipo.
La vulnerabilidad se aprovecha de una de las
características de Popcorn Time que evitan que los proveedores de servicio de
acceso a Internet puedan bloquear toda la plataforma de almacenamiento en la
Nube (CloudFlare) en caso de detección de un flujo de datos relacionado con
Popcorn. Pero dado que esa conexión con CloudFlare se hace sobre HTTP “normal”
y no sobre HTTPS, el protocolo con
seguridad añadida, existe más facilidad para la intromisión no autorizada en las
instrucciones enviadas y recibidas.
El descubridor de esta vulnerabilidad insiste en recomendar el uso de protocolos HTTPS mientras desde Popcorn Time aseguran que los usuarios no tienen de qué preocuparse puesto que para poder aprovecharse de esa rendija de seguridad el intruso tendría primero que acceder a la propia red personal de la víctima, por lo que ya se partiría de un problema previo en la protección del equipo del usuario.
Ataques
XSS
- En inglés Cross-site scripting, se trata de un tipo de ataque muy utilizado cuando la navegación del usuario está expuesta, es decir, cuando carece de seguridad. Gracias a este se puede introducir código en la información que visualiza el usuario y alterar la original, permitiendo por ejemplo que el usuario acceda a contenido malware y que hacerle creer que se trata de contenido legítimo.
- Algo similar es lo que sucede en esta ocasión en PopCorn Time, ya que los fallos de seguridad permiten alterar la información recibida por el usuario, provocando que este pueda descargar un virus informático o acceder a contenido malware sin que este sea consciente.
- Tal y como ya hemos comentado, la variedad de implementaciones en diferentes lenguajes de programación provocan que unos usuarios se encuentren afectados por los problemas y otros no.
- La ejecución remota de código o utilización de aplicaciones del equipo del usuario se trata de un problema importante que el experto e seguridad encargado de descubrirlo ha querido restar importancia, afirmando que lo importante en este caso no es la utilización de HTTPS, sino que la propia aplicación no permite la interpretación y ejecución de este código en ninguno de los dos extremos, aunque no siempre es así
