l+f: Lücken bei BitTorrent Sync
Ein Security-Audit hat eine Reihe kleinerer und größerer Lücken im Filesharing-Dienst gefunden.
- Fabian A. Scherschel
Im Rahmen der Sicherheitskonferenz Hackito Ergo Sum haben sich interessierte Forscher die Filesharing-Software BitTorrent Sync (BT Sync) vorgenommen und auf Sicherheitslücken untersucht. Herausgekommen ist eine recht bunt zusammengewürfelte Sammlung von Schwachstellen. Besonders interessant ist folgender Punkt:
[HIGH] GetSync.com server receives many (all?) hashes in cleartext when sharing the directory
Die Untersuchung der Forscher deutet darauf hin, dass die Server von BitTorrent Inc beim Freigeben von Dateien das temporäre Geheimnis mitschreiben können. Damit wäre es den Betreibern möglich, wenigstens kurzzeitig auf die Daten zuzugreifen. Dieses Verhalten wurde nachträglich eingeführt, was die Forscher zur der Vermutung veranlasst, dies könnte durch einen National Security Letter erzwungen worden sein.
lost+found: Die heise-Security-Rubrik für Kurzes, Skuriles und manchmal auch Triviales aus dem Bereich IT-Security – mehr davon – als RSS
(fab)