אזהרה: סטרימינג של טורנטים לדפדפן יכול להיות מסוכן מאוד. או שלא

מפתח אמריקאי טוען שאם אתם משתמשים בסטרימינג של וידאו באתרים כמו פופקורן טיים, פייראט-ביי ודומיהם אתם חשופים למתקפות זדוניות ולחשיפת פרטיכם על ידי גורמים לא מורשים. המפתחים בתגובה: הטענות שקריות

מקור: Andrew Sampson

מקור: Andrew Sampson

בשבועות האחרונים אנחנו עדים ללא פחות ממהפכה בתחום הטורנטים והסטרימינג הספק-חוקי ברשת; לאחר ששירות פופקורן טיים פרץ את הסכר והחל להציע סטרימינג של סרטים וסדרות היישר בדפדפן, הצטרפו אליו ה-PirateBay (פייראט ביי) אחד מאתרי הטורנטים הוותיקים והמוכרים ו-Kickass Torrents האתר הגדול בעולם. המשותף לכולם הוא שהם מתבססים על שירות Torrents Time. עתה עולות ברשת האשמות כי כל מי שהתקין את התוסף של Torrents Time חושף את המחשב שלו למספר פרצות אבטחה חמורות.

סכנה לנוזקות וחשיפת פרטים אישיים

מי שהעלה את ההאשמות החמורות הוא אנדרו סמפסון, מפתח אמריקאי, שלא ניתן להאשים בהערצה עיוורת לארגוני זכויות היוצרים. סימפסון עומד מאחורי שירות Aurous, שסקרנו לפני מספר חודשים, והציע שירים ואלבומים בהזרמה לדפדפן. מעין ספוטיפיי פיראטי, אם תרצו.

על פי סמפסון, התוסף מריץ קליינט טורנטים שלם בתוך הדפדפן שלכם, שזה בסדר, אולם לטענתו הקוד נכתב בצורה רשלנית. לדבריו, בעקבות זאת, הוא יכול לאפשר מתקפות XHR שמתבססות על CORS או cross-origin resource sharing, כלומר האפשרות של אתר אחד לטעון משאבים מדף אחר. כלומר, תוקפים יוכלו לזייף דפים ‘לגיטימיים’ כמו של אתרי הטורנטים ולהריץ דרכם נוזקות, כשהמשתמש התמים צופה בוידאו שביקש ולא מודע למה שמתרחש ברקע. בעיות נוספות נובעות מכך שהתוסף חושף את כתובת ה-IP שלכם, המדינה שבה אתם גרים, היסטוריית הצפייה שלכם ועוד. לא בדיוק החומר שאתם רוצים שיהיה בידיים של מפרסמים אלמוניים או אולפני הסרטים וארגוני זכויות היוצרים.

אגב, משתמשי המק מקבלים, על פי סמפסון, בונוס בדוגמת בקשת הרשאות מערכת ברמה הגבוהה ביותר – Root, אשר בהן יוכל להשתמש התוסף. לדבריו, מדובר בהרשאה מסוכנת שטיבה לא ברור. אולם על פי סמפסון, הקוד הרשלני גורם לא רק לבעיות אבטחה. לדבריו, התוסף גורם לפגיעה בביצועים שמתבטאת בניצול CPU שנע בין 50 אחוזים ל-80 אחוזים, כל זמן שהשירות רץ, ובעקיפין גם מונע מהמשתמשים לכבות את המחשבים שלהם. סמפסון אף צירף הוכחת היתכנות (POC) של טענותיו.

המפתחים: בניגוד לטענות השקריות, Torrents Time בטוח, ידידותי למשתמש וכיפי

בתגובה לפניית גיקטיים, מסרו לנו מפתחי התוסף: “אנדרו סמפסון שפיתח את Aurous, שירות שנסגר אחרי הליכים משפטיים שביישו ורוששו אותו, החליט כנראה שאם הוא לא יהיה בעסק של שיתוף-תוכן, אף אחד לא יהיה בו”. לאחר הפתיח האישי, עברו המפתחים להפריך אחת-אחת את הטענות של סמפסון, הנה האמ;לק של התגובה.

ראשית, טוענים המפתחים כי בכל הנוגע לפרטיות ולמעקב אחרי המשתמשים, קוד ה-XHR המלא נמצא ב-GitHub; “אם הוא היה כן או מקצוען או שניהם, הוא היה מציין ש-Torrents Time עושה שימוש ב-Javascript XHR סטנדרטי שנמצא כבר בדפדפנים”. בנוסף, הם טוענים: “זה ברור לכל בעל הבנה בסיסית בנושא (או לפחות כזה שאין לו מניעים נסתרים) של-Torrents Time אין שום קשר ל-CORS, פשוט כלום. כנראה שסמפסון הוא לא המומחה שהוא טוען שהוא, או שיש לו מניעים נסתרים”.

בנוגע לתהליך ה-Root שעוברים מחשבים שמריצים OS X, טוענים המפתחים כי מדובר בהליך חובה, שנועד לאפשר את השימוש ב-VPN המובנה שבשירות. בבדיקה שעשינו עם עמית ברקת, מנכ”ל SaferVPN, שמתמחה בפיתוח שירותי VPN, עולה כי אכן יש צורך לעשות Root, כאשר מדובר ב-VPN שלא מותקן דרך ה-Mac App Store.

בנוגע לסוגיית ה-CPU, טוענים המפתחים: “אפילו מר סמפסון החכם לא יודע מדוע המחשב שלו צורך כל-כך הרבה מכוח העיבוד על המעבד שלו או מדוע הוא מתרסק. אולי הוא התקין לעצמו וירוס. לא קיבלנו תלונה אחת על כך מהמשתמשים הרגילים שלנו, אבל אם נקבל תלונה, נטפל בה. אנחנו יודעים כיצד לגרום למשתמשים ליהנות מ-Torrents Time ולגרום למחשבים שלהם לקרוס – היא בטח לא הדרך”.

לבסוף, מציינים המפתחים: “למרות הטענות החלולות, Torrents Time לא מאפשר לתוקפים לשלוט לכם במחשב! הוא בטוח, ידידותי למשתמש וכיפי”. את הפוסט המקורי מסיים סמפסון בקריאה להשמיד (To Nuke) את השירות, אולם ככל הנראה מדובר על סלנג של קהילת ה-p2p, שמתאר הפצה של תוכן פגום. למרות זאת, הגיבו המפתחים בחריפות לאמרה הזו וכינו אותו טרוריסט.

אם לא השתכנעתם מהתשובות של מפתחי Torrents Time, תוכלו להסיר אותו בעזרת הלינק הזה למחשבים שמריצים OS X, ועל ידי גישה ל-Add/Remove Programs (הוספה והסרת תוכנות) במחשבים שמריצים חלונות ובחירת Torrents Time Uninstall.

 

יניב אביטל ואבישי בר

הגב

7 Comments on "אזהרה: סטרימינג של טורנטים לדפדפן יכול להיות מסוכן מאוד. או שלא"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
רועי
Guest

הוא צודק שהתוכנה הזו מונעת מהמחשב להכנס למצב שינה.
היא שמה טיימר שמכיר את המחשב כל חמש דקות.
השאלה, למה..

חיים
Guest

אולי כדי למנוע מהמחשב להכנס למצב שינה אוטומטי תוך כדי צפייה בסרט? אצלי המסך כבה אוטומטית (מצב חיסכון בחשמל) תוך כדי צפייה דרך הסטרימינג שלהם, מה שלא קורה בצפייה בנגן רגיל.

Roey
Guest

הדפדפן שומר את המסך של המחשב דולק בזמן שהסרט רץ. וגם אם מדובר בשידור לchrome cast אז יש שיטות אחרות להשאיר את המחשב דולק, ואפילו אם זו הדרך שבה הם בחרו להתמודד עם הכיבוי של המחשב, לא ברור למה זה פועל גם כשהתוכנה לא בשימוש.
כמו שדור רשם, זה מפוקפק ביותר… לך תדע אם לא משתמשים בו להתקפות DDOS וכו’.

Dor Pinhas
Guest

סרוויס מפוקפק.
אכן המחשב לא יכול להכנס למצב sleep שהיא מותקנת.
למי שרוצה לבדוק במחשב שלו –
Elevated CMD:
powercfg /waketimers

ליאור
Guest

גם ב-Hola זה רלבנטי?

‫יעקב צ'אקוב‬‎
Guest
‫יעקב צ'אקוב‬‎

מישהו יודע איך אני מסיר את ה Torrents Time לאחר שכבר התקנתי אותו על המחשב ???

סרח
Guest

דרך לוח בקרה

wpDiscuz

תגיות לכתבה: