Ondanks een download verbod en de jacht van Stichting Brein(tumor) is PopcornTime nog altijd een zeer populair stukje software om illegaal films te kijken via het bekende Bittorrent protocol. Zoals ik al in mijn recensie schreef, brengt dit een aantal beveiligingsproblemen mee. Zo heeft een hacker met de naam DaKnOb met een uurtje werk maar liefst twee gaten in het programma gevonden.

Zo kan iemand door middel van een Cross-Site Scripting (XSS) attack diverse scripts injecteren bij andere gebruikers van PopcornTime en zo in korte tijd een hoop systemen in bijvoorbeeld een botnet hangen of gebruiken voor click fraude en erger. Maar DaKnOb is de rotste niet en heeft nu ook tips gegeven om deze exploits te dichten. Maar door dat er diverse PopcornTime versie zijn is er een probleem en zijn sommige versies wel en niet kwetsbaar voor deze aanvallen. Zo is de vesie die via PopcornTime.io beschikbaar is WEL kwetsbaar en die van Popcorn-time.se NIET omdat die is geschreven in C++. Maar deze laatst genoemde komt wel met reclames en andere troep die je niet in je systeem wilt hebben. Het hele verhaal met uitleg en meer kan je hier op de website TorrentFreak lezen.

Antonios Chariton, aka 'DaKnOb', describes himself as a Security Engineer & Researcher. Currently in Greece studying for his B.Sc. in Computer Science, Chariton informs TorrentFreak that he's discovered some serious security vulnerabilities in at least one fork of Popcorn Time.

"First of all, the request to Cloudflare is initiated over plain HTTP. That means both the request and the response can be changed by someone with a Man In The Middle position (Local Attacker, Network Administrator, ISP, Government, etc.)," Chariton explains.

"The second mistake is that there is no input sanitization whatsoever. That means, there are no checks in place to ensure the validity of the data received. The third mistake is that they make the previous two mistakes in a NodeJS application."

"We have injected malicious JavaScript and the client application executed the code. Using this attack we can show fake messages or even do something smarter. Since the application is written in NodeJS, if you find an XSS vulnerability, you are able to control the entire application," Chariton explains.

"This essentially is Remote Code Execution on the computer that runs Popcorn Time. You can do anything the computer user could do."