{"id":201158,"date":"2018-02-22T07:47:53","date_gmt":"2018-02-22T06:47:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=201158"},"modified":"2020-10-26T15:20:40","modified_gmt":"2020-10-26T14:20:40","slug":"finger-weg-vom-utorrent-client-und-web-client","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/02\/22\/finger-weg-vom-utorrent-client-und-web-client\/","title":{"rendered":"Finger weg vom uTorrent-Client und Web-Client"},"content":{"rendered":"

English<\/a> Ich wei\u00df nicht, ob noch jemand meiner Blog-Leser\/innen Bittorrent \u00fcber den uTorrent-Client oder den Web-Client verwendet. Aktuell sollte man die diversen Clients aus Sicherheitsgr\u00fcnden nicht mehr einsetzen.<\/p>\n

<\/p>\n

\"\"Tavis Ormandy, Sicherheitsforscher bei Google, hat sich die Clients vorgenommen und warnt in diesem Bug-Report<\/a> beim Chromium-Projekt vor deren Verwendung. Tavis schreibt:<\/p>\n

Standardm\u00e4\u00dfig erstellt utorrent einen HTTP-RPC-Server auf Port 10000 (uTorrent classic) oder 19575 (uTorrent web). Es gibt zahlreiche Probleme mit diesen RPC-Servern, die von jeder Website mit Hilfe von XMLHTTPRequest() ausgenutzt werden k\u00f6nnen. Um es deutlich zu machen, reicht es aus, *jede* Website zu besuchen, um diese Anwendungen zu kompromittieren.<\/p><\/blockquote>\n

Im Anschluss geht er in seinem Dokument auf die uTorrent-Clients ein. Hier ein paar Informationen auf Deutsch.<\/p>\n

uTorrent web (web.utorrent.com)<\/h2>\n

uTorrent Web ist ein Webinterface, \u00fcber welches man per Browser (im Gegensatz zum Desktop-Client) auf Bittorrent-Inhalte zugreifen kann. Standardm\u00e4\u00dfig ist uTorrent Web so konfiguriert, dass es mit Windows gestartet wird, so dass es immer ausgef\u00fchrt und zug\u00e4nglich ist. Zur Authentifizierung wird ein Zufalls-Token generiert und in einer Konfigurationsdatei gespeichert. Dieses Token muss bei allen Anfragen als URL-Parameter \u00fcbergeben werden.<\/p>\n

Klickt der Nutzer das uTorrent-Taskleistensymbol, \u00f6ffnet sich ein Browserfenster, in dem das Authentifizierungstoken bereits in der URL eingetragen ist. Das sieht dann so aus:<\/p>\n

http:[\/\/]127.0.0.1:19575\/gui\/index.html?localauth=localapic3cfe21229a80938<\/p>\n

Trotz des 8 Byte-Codes, schreibt Ormandis, w\u00e4re es nicht trivial, einen Remote-Angriffe zu fahren. Allerdings sind die Informationen zur Authentifizierung in webroot gespeichert. Es erfordert nur einige einfache DNS-Rebinding-Angriffe, um Remote auf diese Informationen zuzugreifen. Sobald der Angreifer diese Information hat, kann er aber einfach das Verzeichnis \u00e4ndern, in dem Torrents gespeichert sind. Sprich: Es lie\u00dfen sich beliebige Dateien (die beschreibbar sind) vom Rechner des Opfers abziehen. Dazu reicht es, den Benutzer auf eine pr\u00e4parierte Webseite zu locken.<\/p>\n

uTorrent Classic-Client<\/h2>\n

Wer statt des Web-Clients den uTorrent-Client f\u00fcr den Desktop einsetzt, l\u00e4uft ebenfalls in Probleme. Standardm\u00e4\u00dfig erstellt utorrent Classic einen JSON RPC-Server auf Port 10000. Ormandy ist sich unschl\u00fcssig dar\u00fcber, dass dieser absichtlich \u00fcber das Internet erreichbar ist, da man zahlreiche Abst\u00fcrze des Clients provozieren kann. Er hat eine Testseite zur Demonstration<\/a> aufgesetzt.<\/p>\n

Bei der Analyse fiel Ormandy jedoch auf, dass der \/proxy\/-Handler standardm\u00e4\u00dfig aktiviert und im Web exponiert ist. Dies erm\u00f6glicht es jeder Website, alle heruntergeladenen Dateien aufzulisten und zu kopieren. Jede Website, die Nutzer besuchen, kann jeden Torrent, den diese heruntergeladen haben, lesen und kopieren. Dies funktioniert mit der Standardkonfiguration.<\/p>\n

Unterm Strich: Mit den Clients ist das System offen wie ein Scheunentor f\u00fcr Angreifer. Zudem gibt Ormandy an, dass die Bin\u00e4rdatei utorrent <\/em>ASLR und \/GS deaktiviert, keine wirklich gute Idee im Hinblick auf die Sicherheit (siehe auch Warnung: Auf 7-Zip verzichten<\/a>). Auf der Chromium-Bug-Webseite<\/a> kann man die Entwicklung verfolgen. Eine 3.5.3 Beta des Desktop-Clients ist wohl verf\u00fcgbar und soll die Sicherheitsl\u00fccken schlie\u00dfen. Der Web-Client ist immer noch angreifbar. Einige Information sind auch in diesem Artikel<\/a> bei heise.de nachzulesen.<\/p>\n

Erg\u00e4nzung: Der Desktop-Client scheint das Problem in der Version\u00a03.5.3.44352 gefixt zu haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

English Ich wei\u00df nicht, ob noch jemand meiner Blog-Leser\/innen Bittorrent \u00fcber den uTorrent-Client oder den Web-Client verwendet. Aktuell sollte man die diversen Clients aus Sicherheitsgr\u00fcnden nicht mehr einsetzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,2378],"class_list":["post-201158","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-utorrent"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=201158"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/201158\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=201158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=201158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=201158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}