- Porównanie
- Ćwiczenia
- Luki wykryte w indyjskiej aplikacji do strumieniowego przesyłania wideo MX Player
Popularna aplikacja do odtwarzania multimediów i platforma OTT MX Player, która ma ponad pół miliarda pobrań ze Sklepu Play, ma krytyczne luki w zabezpieczeniach. MX Player był pierwotnie używany tylko jako odtwarzacz plików multimedialnych i stał się bezpłatną platformą do strumieniowego przesyłania treści online po jej przejęciu przez Times Internet. Jest to jedna z najczęściej używanych platform OTT w Indiach i zawiera dodatkowe funkcje, takie jak MX Transfer, który umożliwia użytkownikom bezprzewodowe przesyłanie treści multimedialnych i aplikacji.
Luka umożliwiająca zdalne wykonanie kodu
To właśnie ta funkcja przesyłania plików została uznana za podatną na ataki przez Davida Willsa, badacza z firmy zajmującej się bezpieczeństwem Tenable Security. Według Wills funkcja przesyłania plików tworzy punkt dostępowy, który sprawia, że jedno urządzenie jest nadawcą, a drugie odbiornikiem do przesyłania treści. Podczas tego procesu haker, który znajduje się w zasięgu Bluetooth tych urządzeń, może włamać się i wstrzyknąć pliki wykonywalne. Ponieważ protokół przesyłania plików MX Players umożliwia przesyłanie wielu plików w jednej sesji, zapewnia bramkę dla drugiej strony, która może wkroczyć i przesłać pliki zawierające ładunki złośliwego oprogramowania. Te pliki lub aplikacje mogą być kontrolowane zdalnie i mogą być używane do instalowania innych plików, szpiegowania lub kradzieży prywatnych plików przechowywanych na urządzeniu i wysyłania ich na zdalne serwery należące do hakerów. Ten test został przeprowadzony przy użyciu smartfonów Android Pixel 3 i Pixel 3 XL, ale Wills nie ujawnił, czy aplikacje MX Player na iOS były również podatne na zdalne wykorzystanie kodu. Szczegóły tej luki zostały udostępnione zespołowi MX Player i chociaż otrzymali bardzo niewielką odpowiedź od zespołu, wydaje się, że luka została naprawiona w najnowszej aktualizacji wydanej 6 lipca. Dlatego jeśli masz zainstalowany MX Player na swoim telefonie, wskazane jest jak najszybsze ręczne zaktualizowanie aplikacji do najnowszej wersji.