pnaky.com : bloguju o tom co se děje

pnaky.com : bloguju o tom co se děje

Rapget.RS - nezabezpečený download manager pro RapidShare

Pnaky | 1. 8. 2009 So 12.55 | Tisk | RapidShare.com, Pirátství | 2 komentáře | 4537x


Vzhledem ke skutečnosti, kdy velmi populární download manager nazývaný RapGet již několik měsíců nefunguje, vyrojilo se několik konkurenceschopných náhrad. Mezi ty nejzdařilejší patří česká „verze“ Rapget.RS, která má ovšem velmi závažnou chybu v zabezpečení přístupových údajů na samotný server RapidShare.com.

Program Rapget.RS je distribuován ve dvou verzích: Free a Premium. Obě verze mají dle mého názoru velmi závažnou bezpečnostní chybu ve správě uživatelem vložených informací. Nejprve se zaměříme na verzi Free.

Chyba se objevuje ve verzích Rapget.RS_Public_v1.0.4.0_cz a Rapget.RS_Premium_v1.0.4.3_cz.

FREE v1.0.4.0

Program po standardním průběhu instalace naleznete ve složce c:\Program Files\Rapget.rs\Rapget.RS_Public_v1.0.4.0_cz\ kde se zaměříme primárně na soubor RapgetRS.xml. Soubor .xml je možné otevřít například v poznámkovém bloku nebo dokonce i v Internet Exploreru.

<AccountInfo>
  <AccountType type="RS">
    <Alias>nazevuctu</Alias>
    <Login>login</Login>
    <Password>password</Password>
    <Active>True</Active>
    <TrafficShare>False</TrafficShare>
  </AccountType>
</AccountInfo>

Jak je zřejmé z předchozího výňatku kódu, jednotlivé hodnoty jsou otagovány pomocí XML syntaxe, tudíž není velký problém jednotlivé položky dohledat. Alias slouží pouze pro pojmenování účtu v rámci aplikace Rapget.RS ovšem Login a Password jsou právě ony inkriminované nezabezpečené řetězce. Na rozdíl od jiných download managerů lze v u Rapget.RS používat jak alternativní login (přezdívku/alias) tak číselný kód přidělený RapidShare.com při první registraci účtu.

Další položky typu Active či TrafficShare nejsou natolik důležité abychom se jimi museli zabývat.

PREMIUM v1.0.4.3

Informace o „zabezpečení“ přihlašovacích údajů na RapidShare.com platí pro Premium verzi ve stejné míře jako bylo popsáno v části o verzi Free.

Na druhou stranu se zde objevují v souboru RapgetRS.xml další dva velmi důležité řádky.

<SerialNumber>43918715-F241-4D49-8B15-CF534736FFEA</SerialNumber>
<LicensePassword>password</LicensePassword>

Pokud jste držitelem Premium licence, jistě jste na mail obdrželi licenční číslo ve tvaru uvedeném výše. Při prvním zadání jste museli zvolit heslo pro licenci, které je právě předmětem řádku LicensePassword. Pokud by Vám kdokoliv tyto dva řádky odcizil, bude mít možnost používat Vaší placenou licenci.

Oba řádky jsou opět v čitelné podobě takže není velký problém se zmocnit obsahu který nesou.

Upozornění: Pokud Vám bude licence odcizena a uživatel se jí bude snažit použít, velmi pravděpodobně narazí na problém aplikaci spustit – Rapget.RS umožňuje spustit pouze jednu instanci verze Premium v rámci internetu s jedním licenčním číslem.

Poznámka: Vzhledem k faktu, že konfigurační soubory pro obě verze nesou stejný název, není problém je najít za použití interní funkce Hledat v operačním systému.

Závěrem

Tento text má za úkol upozornit uživatele aplikace Rapget.RS na možná bezpečnostní rizika. Nedostatek jsem reportoval autorům program na počátku tohoto týdne a do dnešního dne jsem nedostal žádnou odpověď. Přijde mi tedy velmi nezodpovědné se chybu nesnažit opravit v nejkratší možné době. Ještě více zarážející je skutečnost, že Premium verze je již placená a uživatel tak může přijít i o placenou licenci k programu – pokud mu bude odcizena.

Používáte-li tento program ke stahování souborů ze serveru RapidShare.com, informujte o tomto článku autory programu aby chybu opravili.

Bookmarky.cz del.ici.ous Digg! Facebook Furl jagg.cz Google Linkuj si! Topclanky.cz vybrali.sme.sk yahoo!

««« Předchozí text: Aktualizováno 8. července 2009: RapidShare.com - Neomezené stahování pro premium uživateleNásledující text: Aktualizováno 19. prosince 2009: Polštářová válka 2009 »»»

Komentáře k textu

- Formulář pro nový komentář

[1]killix Pouze teoretické obavy
16. 9. 2009 St 16.32

Ahoj, Díky za upozornění. Nicméně nejedná se o chybu ale koncepční řešení (nevylučujeme změnu). Ke ztrátě citlivých dat by mohlo dojít pouze pokud by uživatel program nastavil na cizím počítači a při odchodu po sobě neuklidil.

1. Možné riziko ztráty loginu a hesla na RapidShare: již řadu měsíců je na webu RapidShare možnost zamčení účtu pomocí funkce SECURE tak že ani po ztrátě loginu a hesla nedojde k odcizení účtu – vřele doporučujeme. Navíc i pokud by bylo heslo v souboru zabezpečené pak trochu šikovnější uživatel dokáže heslo odposlechnout z komunikace programu při požadavku na stahování – rapidshare login a heslo přenáší v prostém textu 2. Možnost ztráty licence k programu: k odcizení samozřejmě dojít může nicméně licence je vázána na email přes který se uživatel registroval, takže pokud mu bude výjimečně zcizena není problém ověřit majitele dle registračního emailu a původní licenci pozastavit či změnit heslo na našem licenčním serveru a nový login majiteli znovu zaslat – zatím se nám toto stalo jednou a vyřešili jsme to ihned – vzhledem k počtu uživatelů programu jichž je přes 100 000 v tomto také nespatřujeme zásadní problém

V každém případě díky za upozornění a je možné abychom rozptýlili teoretické obavy, že tyto informace budeme šifrovat.

S pozdravem za RSTeam Vláďa

[2]webPnaky
16. 9. 2009 St 16.53

[1] killix: Dovoli bych si odpovědět na oba dva body:

  1. To že lze na RapidShare použít funkci SecureLock se ví ale lidé ji nepoužívají – i přes to tomu nic nebrání aby se účet dal zneužít protože pro stahování via browser stačí login a heslo. Né každý sleduje log stahování případně účet nevyužívá tak často aby kontroloval traffic. Pokud by účet zamčený nebyl, lze ho ukrást a setkal jsem se se situací, kdy lidé nebyli ani schopni sesmolit mail aby to RapidSharu oznámili a radši si nechali koupit nový.
  2. Ačkoliv je licence vázána na e-mail (logická věc) lze ji zneužít stejným způsobem jako přihlašovací údaje na RapidShare. Výhodou tu je, že je možnost kontaktovat Vás v češtině což lidem ulehčí situaci.

Závěrem bych dodal, že přihlašovací údaje a licence se nemusí „krást“ jen při neuklizeném odchodu z cizího počítače ale i z cizího notebooku či počítače (návštěva, škola, atd.) vyhledání .ini souboru je záležitost asi tak 30s a k tomu dalších 30 abych tyto údaje měl u/pro sebe.

Šifrování bych osobně doporučoval ačkoliv ho kdykoliv bude pravděpodobně moci rozlousknout i tak je to jisté „uklidnění“ uživatelů, že jejich důvěrná data jsou v bezpečí.

Neberte článek jako kritiku nýbrž upozornění – snažil jsem se Vás kontaktovat e-mailem ale nikdo se neozval, tak jsem problém zveřejnil a doufajíc, že se někdo z Rapget týmu ozve ;) To se stalo a věřím, že se Vám situaci podaří v brzké době vyřešit.

V případě pomoci s řešením zabezpečení mne klidně kontaktujte.

Nelze přidávat nové komentáře.

Doporučuji

Tycoonez.com:munity >> Transport Tycoon DeLuxe (TTD) Pixel art at PixelJoint.com