משתמשי קודי חשופים לפרצת אבטחה חמורה
חור אבטחה באתר משאבי המפתחים גיטהאב חושף את גולשי קודי למתקפות סייבר; התוספים שהם מורידים לא כוללים רכיב אבטחה בסיסי שיימנע גניבת חשבונות ושתילת וירוסים וכלי ריגול. הנהלת האתר: אנו מודעים לבעיה ופועלים לתקנה
- כשפייסבוק הופכת לקודי: נמל המבטחים של הפיראטים
- מומחי סייבר: בניגוד לטענות התעשייה, Kodi היא לא סכנת אבטחה
- הפתעה לפיראטים: גם גוגל נלחמת בפלטפורמת Kodi
מפתחי קודי, כמו מפתחים רבים אחרים, מאחסנים את התוספים בכתובת שקיבלו מגיטהאב, ממנה מושכים הגולשים את התוסף ומורידים אותו. ואולם, מפתח שסוגר את החשבון שלו לא מנתק את הקשר בין התוסף וגיטהאב; פושעים יכולים לפתוח חשבון גיטהאב עם שם זהה לשל מפעיל התוסף, ולקבל גישה לכתובת האמורה. התוצאה: הגולשים יורידו ממנה קבצים, גם אם הותקנו בהם רכיבים זדוניים.
מדובר בפרצה חמורה מכיוון שמהרגע שקודי מושך עדכונים מהכתובת בגיטהאב, אין שום דרך לוודא שזו אכן אותה הכתובת ששימשה את המפתח המקורי. אין שום מניעה שהכתובת הפכה לאחסון של נוזקה או וירוס ושאלה יועברו למחשבי המשתמשים ללא ידיעתם. גרוע מכך, האקר מיומן יכול בקלות לחדור לכל מחשב שמתחבר לחשבון גיטהאב ומשם לקבל גישה לרשת הפנימית של המשתמש.
התקלה נחשפה במקור לפני כשנתיים בידי מפתח בשם MetalKettle שסגר את חשבונו בגיטהאב והוחלף בידי מתחזה. חטיפת חשבונות גיטהאב דווחה בעוד כמה מקרים מאז, אך לאחרונה היא עלתה שוב לדיון בפורומים של משתמשי קודי לאחר שאחסון של תוסף פופולרי שהופעל תחת השם 13Clowns סבל מהבעיה.
התוסף שאוחסן בחשבון החדש כלל גרסה של Exodus - כלי שנמצא בחקירה במספר מדינות בחשד להפרת חוקי זכויות יוצרים בגלל החיבור שלו ל-TVAddons, שמאפשר לקלוט ערוצי טלוויזיה בתשלום בחינם.
בגיטהאב מודעים לבעיה. על פי תקנון השימוש של האתר אסור להפעיל חשבונות ליצירה של פרצות אבטחה. באתר, שנרכש לאחרונה בידי מיקרוסופט, מתייחסים לשימוש בשם משתמש שהיה קיים כפרצה והדבר נוגד את תנאי השימוש ככל שהחשבון המפר מדווח לאתר האחסון. גיטהאב קורא למשתמשים לדווח על תקריות של חטיפת חשבונות, וצוות האתר הבטיח שכל מקרה יטופל במהירות.