Popcorn Time y sus muchos problemas de seguridad

Malas noticias para los usuarios de Popcorn Time. El investigador de seguridad Antonios Chariton, conocido en la Red como DaKnOb, ha alertado sobre la existencia de una vulnerabilidad en el popular cliente para ver películas y series por streaming que permitiría a cualquier hacker tomar el control del dispositivo donde estuviera instalado este software.

El investigador confesó que encontró el fallo casi por casualidad, mientras configuraba el cortafuegos de su ordenador, y observaba el tráfico generado por este programa. En apenas una hora ya había logrado inyectar código malicioso en la aplicación.

El uso de HTTP, el principal problema de Popcorn Time

Según Chariton, la vulnerabilidad de Popcorn Time frente a ataques reside principalmente en tres malas prácticas: el uso del estándar HTTP frente a HTTPS, la falta de validación de los datos y que la aplicación (por lo menos algunos de sus forks) está escrita en NodeJS.

Para poder saltarse el bloqueo de muchos proveedores de Internet, Popcorn Time hace uso de parte de la infraestructura de CloudFlare. El problema reside en que las peticiones a este servicio se realizan sobre HTTP plano, en lugar de HTTPS, por lo que mediante un ataque man-in-the-middle, cualquiera con acceso a la red local o un administrador de red, podría cambiar esas peticiones y sus consiguientes respuestas.

Por favor, usad HTTPS en todos lados, sobre todo en aplicaciones que no se ejecutan dentro de un navegador web.

Popcorn Time tampoco implementa ningún método para validar los datos que le llegan, por lo que el problema se agrava más todavía, especialmente porque la aplicación está escrita en NodeJS. Por lo menos la variante en la que encontró la vulnerabilidad Chariton, aunque nos consta que otras versiones escritas en C++ no correrían el mismo peligro.

Lanzando un ataque XSS sobre Popcorn Time

Para llevar a cabo una demostración práctica de la vulnerabilidad, Chariton decidió realizar un pequeño ataque inocente, en el que logró cambiar el título de la película Hot Pursuit (¡Pisándonos los tacones! en España) por un clásico Hello World (Hola Mundo), demostrando que podría haber cambiado cualquier otra información mostrada en Popcorn Time.

La vulnerabilidad de Popcorn Time permite cambiar los contenidos de la aplicaciónLa vulnerabilidad de Popcorn Time permite cambiar los contenidos de la aplicación / Imagen propiedad de Antonios Chariton

Obviamente, cambiar unos rótulos por aquí y unas imágenes por allí no supone un riesgo demasiado peligroso para el usuario, por lo que DaKnOb siguió adelante con su demostración lanzando un ataque XSS o cross-site scripting, mediante el cual inyectó un código JavaScript malicioso que fue ejecutado sin problemas por Popcorn Time.

He demostrado que cualquier usuario con una posición man-in-the-middle entre tu ordenador y CloudFlare puede tomar el control de tu dispositivo.

Con este ataque, un hacker puede mostrar mensajes falsos dentro de la aplicación o cualquier otra cosa que se le antoje. Dado que Popcorn Time está escrito en NodeJS, y éste puede leer todos los archivos del ordenador y ejecutar comandos shell, si se detecta una vulnerabilidad XSS, uno puede tomar el control de la aplicación y llevar a cabo cualquier acción que podría hacer el propio usuario del dispositivo atacado.

Lanzando un ataque XSS en Popcorn TimeLanzando un ataque XSS en Popcorn Time / Imagen propiedad de Antonios Chariton

La respuesta de Popcorn Time no se ha hecho esperar

Por su parte, Popcorn Time no ha tardado en restar importancia a los hallazgos de DaKnOb, ya que consideran el ataque es muy poco probable y resulta demasiado complejo para la poca rentabilidad que se puede obtener del mismo.

Según los responsables de Popcorn Time, el hacker tendría que tener acceso a la red local de la víctima, y la utilidad del hackeo sería más bien escasa, ya que este software no se ejecuta con privilegios elevados, por lo que el atacante apenas podría hacer nada.

Aun sin ningún tipo de protección, es muy poco probable que alguien use Popcorn Time para atacar tu ordenador. Alguien con los conocimientos necesarios para este ataque tendría objetivos mucho mejores.

Aun así, se han apresurado en asegurar que se lanzara una actualización que solucione el problema en breve para mayor tranquilidad de todos los usuarios que acceden a este programa para disfrutar de su amplio catálogo de contenidos multimedia.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?