קודי מאפשר להאקרים לשלוט במערכת מרחוק

חוקר האבטחה הישראלי של מעבדת קספרסקי, עידו נאור, חשף פרצות אבטחה ב- Kodi, נגן המדיה בקוד פתוח. חולשות אבטחה בתהליך ההגדרה של המכשיר, ובצורה שבה התוכנה משתפת תוכן עם האינטרנט מאפשרות להאקרים ברמה נמוכה יחסית להשתלט על הנגן מרחוק. אם זה לא מספיק, קהילת המפתחים לא ממהרת להגיב לבעיות.

במהלך מחקר, שעדיין נמצא בשלביו הראשונים, גילה חוקר מעבדת קספרסקי חולשות בנגן המדיה קודי, שעלולות להיות מנוצלות לרעה על ידי האקרים, ואפילו המתחילים שבהם. זאת מפני שכל שנדרש מההאקר הוא למצוא את כתובת ה- IP של מחשב הקורבן שקודי מותקן עליו, ומשם ניתן להשתלט על קודי לחלוטין, עד לרמת השליטה בתוכן בו צופה הקורבן  ואף בקבצים הפרטיים של המשתמש.

מעבר לכך, נאור מצא כי ניתן לא רק לשלוט בתוכן, אלא גם לחשוף פרטים אחרים, כמו לדוגמא, האם הקורבן צופה כרגע בתוכן ומהיכן. שיטת ריגול זו נראתה בעבר רק בהתקפות מתוחכמות הרבה יותר.

"בחלק ממכשירי המדיה מבוססי קודי, המערכת מעודדת משתמשים לשתף תיקיות באינטרנט על מנת לנהל את תכני הצפייה. יכולת זו מאפשרת להאקרים לנוע בין תיקיות העלולות להכיל תוכן אישי כמו תמונות, סרטונים ומסמכים. באמצעות גישה כזו יכול תוקף גם להחליף תמונה או סרטון עם קובץ זדוני כגון תוכנת כופר, דבר שיגרום להצפנת הקבצים של המשתמש, ברגע שיפתח, באופן תמים, את הקובץ", הסביר נאור.

נאור מצא חולשות נוספות ודיווח עליהן לקהילת המפתחים של קודי, אך בתשובה שקיבל נאמר כי ההגדרות הללו הן חלק מהתוכנה של קודי ושעל המשתמש להיות מודע לדרכי ניצול מהסוג הזה. לגבי חולשות אחרות אמרו המפתחים כי בעיות האבטחה יתוקנו בהמשך.

"יש לקחת בחשבון שמוצר שאינו דואג לסגור את בעיות האבטחה שלו באופן מידי, ואינו בנוי בתפעול יעיל של תקלות מהסוג הזה, מעלה את הסיכון עבור משתמשים רגילים מהשורה", אמר נאור. "מצד אחד קודי נראה כמו פתרון שיחסוך למשתמש הרבה כסף, אך מצד שני ישנה עלות, בדמות סיכון לפרטיות המשתמש, שלא תמצאו אצל ספקי המדיה המסורתיים".

בדוגמה נוספת לחולשת המערכת, הראה נאור כיצד ניתן להשתמש באפליקציית השלט של קודי על מנת להזין פרטים (כולל שם משתמש וסיסמא שגם אותם ניתן  להשיג) של מחשב שנמצא בקצה השני של העולם, ועליו מותקנת התוכנה. השימוש באפליקציה הקנה לו שליטה מלאה על הצפייה בקודי, כולל הפסקת/עצירת צפייה, העברת ערוצים, שליטה בהגדרות התוכנה, ולבסוף גם כיבוי יזום של התוכנה מרחוק. חשוב לציין שכל האמור לעיל נעשה ללא הצגת אף התרעה על צג התוכנה שתיידע את המשתמש על חיבור שהתבצע מרחוק.

אז מה עושים? על מנת להתגונן, משתמשי קודי צריכים לוודא שהגדרות החיבור, בתוכנה ובנתב שלהם, מוגדרות בצורה שלא תאפשר שיתוף של תיקיות או של ממשק הניהול של קודי, וכן לא תאפשר למחשבים/טאבלטים או מכשירים ניידים אחרים להתחבר לקודי מרחוק.