热门P2P文件共享平台BitTorrent Sync爆出“棱镜”后门,用户数据可被偷窥
作者: 日期:2014年11月20日 阅:5,344

bitTorrent-syncing

流行的P2P文件共享平台BitTorrent Sync最近在一次代码审计中发现存在漏洞,可能会泄露用户的Hash值。

BitTorrent Sync基于P2P网络实现设备间跨平台文件同步(Android、iOS、Windows、Mac、Linux等),功能上与Box和Dropbox类似,但号称比云存储更快更安全,不但文件传输通过安全密钥进行加密,而且还承诺信息绝不会存储到云端任何服务器中,其文件下载速度据说是流行的云存储服务Dropbox的16倍。(编者按:对于Dropbox之类随时有可能被墙或者被净化的所谓云存储来说,BitTorrent Sync 将信息的所有权和控制权完全交给了个人用户,当然,最大的优点是几乎没有存储空间限制)

在云存储安全事件频发而个人信息设备终端多样化的今天,BitTorrent Sync的热度不断飙升,目前大约1000万用户下载了BitTorrent Sync。但最新的漏洞让BitTorrent也蒙上了棱镜门的阴影。(编者按:NSA等情报部门最喜欢对愤怒的小鸟WhatsApp这样的热门游戏或者热门工具下手)

在Hackito的研究组通过对BitTorrent Sync的审计发现了一个潜在的后门,这个后门有可能是NSA或者其他政府的情报部门安装的。

“这个后门是在BitTorrent Sync的第一版后引入的。这可能是应美国政府的要求引入的。”美国政府发过一封关于国家安全的信件给各个企业要求他们提供密钥或者在安全加密产品中引入后门以便政府进行监控。BitTorrentInc(BitTorrent Sync的运营公司)或者其开发者也许收到过这封信。

Hackito的研究组发布的分析表明,BitTorrent Sync存在潜在的泄露getsync.com的Hash值得风险,从而使得攻击者能够看到所有BitTorrent Sync上的私人数据,此外,客户端还存在着一些漏洞。研究组的建议是,暂时不要在BitTorrent Sync上存放敏感数据。

BitTorrentInc还没有对此事进行明确表态,不过声称要在不久后发布一个详细的说明。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章