Transmission, uno dei client BitTorrent piรน popolari in assoluto per Mac OSX e Linux, arrivato su PC Windows dopo circa un decennio di esistenza, oggi mostra qualche anomalia. Si tratta di un difetto critico nella progettazione dell’app e ha l’aspetto di un cybercriminale, poichรฉ consentirebbe agli hacker di controllare i computer permettendo loro di distribuire codice dannoso su computer di ignari utenti. Questo รจ ciรฒ che hanno scoperto i ricercatori di Project Zero di Google. In particolare, il ricercatore Tavis Ormandy ha dimostrato come lโattacco sfrutti una funzione che permette agli utenti di controllare lโapp di BitTorrent dal browser ed eseguire diverse operazioni, come l’esecuzione di codice remoto. Il bug, che potrebbe essere presente in altri software analoghi, puรฒ essere sfruttato per accedere da remoto al computer dellโutente ed eseguire codice infetto.
La maggior parte delle persone non attiva password, credendo che lโinterfacciaย JSON RPC non possa essere controllata da chi non ha accesso fisico. Una serie di spiegazioni dettagliate รจ stata fornita dal ricercatore, con la pubblicazione del codice dโattacco proof-of-concept. Ormandy, dopo soli 40 giorni dal rapporto iniziale ha rivelato la vulnerabilitร dell’app, poichรฉ gli sviluppatori non l’avevano ancora applicata e ha affermato: โTrovo frustrante che gli sviluppatori di Transmission non rispondano alla loro lista di sicurezza,ย ho suggerito di rendere il tutto pubblico in modo che chi vuole possa applicare le patch in modo indipendenteโ.
Infatti, solitamente Project Zero trattiene la pubblicazione di tali dettagli per 90 giorni, o fino a quando lo sviluppatore non ha rilasciato una correzione. In questo caso, il report privato di Ormandy su Transmission includeva una patch che risolveva completamente la vulnerabilitร . Un portavoce del Transmission Project ha promesso lโimminente rilascio della patch, affermando che la vulnerabilitร puรฒ essere sfruttata solo se lโutente attiva lโaccesso remoto e disattiva la password di protezione.
