uTorrent è vulnerabile: attenzione alle falle di sicurezza scoperte da Google Project Zero

Tavis Ormandy, uno dei ricercatori più esperti e conosciuti in forze presso il team di Google Project Zero, ha rilevato la presenza di alcune vulnerabilità nei client uTorrent, sia desktop che web.

Gli utenti del noto client BitTorrent sono quindi oggi a rischio: sia il client web che il programma installabile in locale espongono un server RPC (nel caso di uTorrent Classic sulla porta 10000; sulla 19575 nel caso di uTorrent Web).

Ormandy spiega che i criminali informatici possono celare comandi diretti al server RPC di uTorrent nelle pagine web e interagire con il programma raccogliendo informazioni sui file precedentemente scaricati dalla vittima e potente installare sul suo sistema codice arbitrario (malware compresi).

La lacune di sicurezza più gravi sono state scoperte in uTorrent Web: un aggressore può infatti assumere pieno controllo del server RPC di uTorrent, caricare malware sul sistema dell’utente, modificare la cartella di default in cui uTorrent memorizza i file prelevati (si può ad esempio specificare la cartella Esecuzione automatica in modo da avviare automaticamente un programma malevolo al successivo ingresso in Windows…).

Il client uTorrent Classic non è ugualmente esposto: Ormandy è stato al momento in grado di estrarre “soltanto” una lista di tutti i file precedentemente scaricati dall’utente, con la possibilità di prelevarli direttamente in modalità remota.

Per risolvere il problema, BitTorrent ha rilasciato la versione 3.5.3 Beta del client uTorrent Classic (dovrebbe diventare disponibile pubblicamente, in versione stabile, entro qualche giorno). Allo stato attuale, invece, uTorrent Web rimane vulnerabile.

Ormandy ha pubblicato due pagine dimostrative, l’una prende di mira uTorrent Web, l’altra uTorrent Classic così da dimostrare la veridicità delle sue asserzioni.

Il ricercatore di Project Zero già da diversi mesi si sta occupando di bug simili a quelli scoperti in uTorrent che, purtroppo, accomunano diversi software: DNS rebinding attack: quando un’app locale può essere sfruttata per attacchi da remoto.