BitTorrent Sync не пригоден для обмена конфиденциальными данными

image

Теги: Bittorent Sync, Hackito Ergo Sum, уязвимость

Участники конференции Hackito Ergo Sum 2014 обнаружили проблемы в системе безопасности популярного сервиса.

BitTorrent Sync, сервис для синхронизации и резервного копирования файлов, чрезвычайно популярен среди пользователей интернета, что объясняется простотой в установке и эксплуатации этого ПО. К тому же, как утверждают разработчики, сервис был создан с учетом требований по безопасности и конфиденциальности. Именно с этой точки зрения участники конференции Hackito Ergo Sum решили исследовать популярное ПО с закрытыми исходными кодами.

В подробном отчете Hackito дано описание поверхности атаки, указаны векторы потенциальных атак, а также упомянуты некоторые внушающие тревогу недоработки в области безопасности и криптозащиты. К числу последних эксперты относят то обстоятельство, что инфрастуктура Sync зависит от других инфрастуктур и ресурсов, надежность которых может вызывать сомнение. Если Amazon станет жертвой хакерской атаки, безопасность всей архитектуры BTsync окажется скомпрометированной, считают аналитики.

Эксперты также удивлены тем, что на сервер GetSync.com в массовом порядке поступают незакодированные хэши. Такая ситуация недопустима, тем более что речь идет об обмене ссылками. Исследователи также считают, что за время существования файлоообменника парадигма обмена претерпела изменения и теперь содержит уязвимость, коды которой могли быть получены компанией BitTorrent Inc и/или разработчиками от следственных органов, руководствующихся так называемыми письмами национальной безопасности (NSL).

Исследователи не исключают утечек сетевых адресов клиентов, а также существования различных уязвимостей у клиентов сервиса. Все изложенное дает экспертам основания не рекомендовать сервис для обмена конфиденциальной информацией.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.