Torrents Time, usare il plugin è rischioso. Ecco perché

Torrents Time, usare il plugin è rischioso. Ecco perché

L'esame del codice del plugin di Torrents Time ha evidenziato diverse falle nella sicurezza che espongono l'utente ad una serie di rischi non strettamente legati ad eventuali profili di legalità dei contenuti riprodotti.

di Salvatore Carrozzini pubblicata il , alle 10:42 nel canale Web
 

Negli ultimi giorni si è molto discusso di Torrents Time un plugin che permette di effettuare lo streaming dei Torrent senza necessità di scaricare un client separato. L'operazione, infatti, può essere portata a termine tramite browser come Chrome, Firefox ed Internet Explorer con i quali il plugin si integra. Il plugin, di per sé, è uno strumento "neutro", ovvero può essere utilizzato per riprodurre qualsiasi contenuto, legalmente o illegalmente distribuito. Di fatto, tuttavia, il plugin è stato già impiegato in siti come Popcorn Time Online, consentendo lo streaming di contenuti pubblicati in violazione della normativa sul diritto d'autore. Tralasciando i profili di legalità (ed affidandoli alla coscienza individuale e agli eventuali interventi delle autorità preposte a vigilare sulla distribuzione di materiale protetto da copyright), è opportuno evidenziare che l'utilizzo di Torrents Time presenta diversi rischi valutabili sul piano della sicurezza sia per gli utenti finali, sia per i gestori dei siti che lo integrano. 

Torrents Time

A fornire un quadro chiaro dei rischi è lo sviluppatore Andrew Sampson e diversi utenti che hanno preso parte ad un'articolata discussione su Reddit. Sampson, nello specifico ha esaminato il codice del plugin Torrents Time evidenziando diverse falle nella sicurezza che rendono il suo utilizzo rischioso. Il primo e per certi aspetti più rilevante riguarda il potenziale abuso del Cross-Origin Resource Sharing (CORS) un meccanismo che consente ad una pagina web di effettuare una chiamata di risorse da un'altra pagina web. Utilizzando in maniera distorta tale strumento, ad esempio, i gestori di siti che diffondono contenuti pirata potrebbero avviare lo streaming di file diversi da quelli che l'utente desidera visualizzare. 

I rischi legati all'uso di Torrents Time sono anche legati al tracking delle informazioni personali dell'utente, a partire dall'indirizzo IP e dalla nazione. Se lo scopo ultimo dell'impiego di Torrents Time è quello di visualizzare contenuti illegalmente distribuiti, il rischio di essere facilmente individuati è quindi elevato. A ciò si devono poi aggiungere considerazioni relative all'impatto sulle prestazioni: dall'analisi effettuata da Samspon è emersa la persistente esecuzione in background del plugin con un comprensibile impatto sulla durata della batteria del portatile e di consumo di risorse. Inoltre, il plugin determina un'occupazione della CPU che oscilla dal 50% all'80%, probabilmente a causa di un bug che è comunque sintomatico di un codice poco ottimizzato.  Lo sviluppatore mette poi in evidenza una serie di attacchi che è già possibile mettere a segno sfruttando elementi di debolezza del codice ed annuncia che il numero è destinato a crescere. 

L'analisi di Sampson termina con un suggerimento esplicito: 

Scherzi a parte, rimuovete questo software dal computer, se lo utilizzate nel vostro sito, rimuovetelo, se pensate di aggiungerlo, non lo fate. Ulteriori exploit presto in arrivo

Questa la prospettiva e la valutazione di uno sviluppatore che ha adeguate conoscenze per mettere in guardia chi usa il plugin. Il giudizio finale spetta ovviamente ai singoli. Certo è che con la diffusione di servizi di streaming video del tutto legali e proposti a prezzi ragionevoli (si veda l'offerta di Netflix che parte da 7,99 euro al mese) i rischi legali e strettamente valutabili sul piano della sicurezza connessi ai nuovi strumenti per lo streaming dei video, forse, non sono del tutto giustificati. 

7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
madnesshank12 Febbraio 2016, 11:16 #1
La classica condivisione bittorrent rimane sempre la scelta migliore. Poi se uno deve scaricare un plugin del genere, tanto vale installare il client .se di popcorn time oppure il client zona.ru
MaxiHori12 Febbraio 2016, 11:50 #2
"senza necessità di scaricare un client separato"
il plugin è un client separato
Zenida12 Febbraio 2016, 20:35 #3
Originariamente inviato da: MaxiHori
"senza necessità di scaricare un client separato"
il plugin è un client separato


Plug in... Non estensione... Lato client non c'è nulla da installare. Vai sul sito ed il plugin integrato sul sito fa la magia
rockroll13 Febbraio 2016, 02:55 #4

Alcune precisazioni

Dice Sampson:
"Utilizzando in maniera distorta tale strumento, ad esempio, i gestori di siti che diffondono contenuti pirata potrebbero avviare lo streaming di file diversi da quelli che l'utente desidera visualizzare."

Ma da quando visualizzare un contenuto diverso da quel che ci si aspetta (ammesso che sia visualizzabile) comporta problemi di sicurezza?
Ma anche se forzassimo lo streaming per ottenere Donwnload del file (esistono vari metodi), è da quando esiste Internet che, se ci aspettiamo un filmxy.avi ed invece ci arriva un virusxy.exe, non andiamo certo ad eseguirlo. E comunque questa eventualità esiste ogni volta che si procede ad un D.L., indipendentemente da eventuali bug del SW che stiamo utilizzando.

Quanto poi al fatto che si può essere "scoperti" a visualizzare contenuti di cui non è autorizzato lo streaming selvaggio, questo è un problema di comportamento più o meno allineato alle leggi imposte, non di sicurezza, anzi è un non problema visto che non c'è una legge che ci obbliga a chiudere occhietti ed orecchette se ci si imbatte in qualcosa di cui non saremmo spettatori degni.

bigbox16815 Febbraio 2016, 13:56 #5
alterantive? kodi + plugin e passa la paura
bigbox16815 Febbraio 2016, 13:57 #6
alterantive? kodi + plugin e passa la paura
komodo_115 Febbraio 2016, 14:20 #7
Ciao rockroll
penso che il rischio non sia quello da te ipotizzato e cioè il seguente:
- penso di scaricare "biancaneve e i sette nani" mentre in realtà scarico "biancaneve sotto i nani"

Il rischio sarebbe questo:
- io penso di scaricare un file avi (biancaneve in gita con i nani) ma in realtà il codice malevolo scarica ed esegue un trojan, un virus, ecc
Ciao

[QUOTE=rockroll;43373173
Ma da quando visualizzare un contenuto diverso da quel che ci si aspetta (ammesso che sia visualizzabile) comporta problemi di sicurezza?
Ma anche se forzassimo lo streaming per ottenere Donwnload del file (esistono vari metodi), è da quando esiste Internet che, se ci aspettiamo un filmxy.avi ed invece ci arriva un virusxy.exe, non andiamo certo ad eseguirlo. E comunque questa eventualità esiste ogni volta che si procede ad un D.L., indipendentemente da eventuali bug del SW che stiamo utilizzando. /QUOTE]

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^