Plugin que permite streaming de torrents tem sérios problemas de segurança

Nesta semana, o Pirate Bay e o KickAss Torrents, duas das grandes plataformas de torrent do mundo, adotaram o novo plugin desenvolvido pela equipe do Popcorn Time chamado de Torrents Time. Com ele, é possível assistir a vídeos e consumir conteúdo diretamente do navegador via streaming. No entanto, uma série de críticas estão sendo feitas ao plugin, incluindo algumas relacionadas à segurança.

Andrew Sampson, desenvolvedor do aplicativo de streaming de músicas Aurous, analisou o Torrents Time e descobriu vários problemas que poderiam colocar a segurança dos usuários em risco. Um dos problemas mais preocupantes está relacionado ao CORS, que é o mecanismo que permite que os recursos de uma página da internet possam ser solicitados por um outro domínio. Este é um dos recursos mais importantes para o funcionamento do plugin, ao mesmo tempo que é utilizado por qualquer página em HTML5, o que abre uma brecha para usuários mal-intencionados.

Sampson conseguiu listar sete problemas graves e que podem ser explorados por hackers. Um dos mais graves permite que pessoas mal-intencionadas façam com que o usuário baixe um arquivo de torrent em segundo plano sem que ele saiba. Tudo isso pode ser feito ao se introduzir uma simples linha de código.

Além disso, qualquer pessoa com acesso ao JavaScript do site poderia descobrir o endereço IP do usuário, o país onde ele mora e até mesmo o navegador que ele está utilizando.

Resumindo, o Torrents Time possui sérios problemas de segurança e o recomendável é que os usuários não façam uso do serviço caso queiram se manter protegidos. No entanto, para aqueles que desejam utilizar o plugin, a boa notícia é que o software ainda está em fase beta e que, por isso, alguns (ou todos) os problemas de segurança encontrados poderão ser resolvidos em breve.

Fonte: Andrew Sampson