Torrents Time, sicurezza in dubbio

Lo sviluppatore Andrew Sampson ha dato una occhiata ravvicinata al codice di Torrents Time, plug-in per browser Web che promette di facilitare lo streaming P2P di contenuti su rete BitTorrent direttamente nel contesto dei motori di ricerca più popolari come The Pirate Bay e (presto) KickAss Torrents. Un progetto che secondo Sampson è pieno di vulnerabilità potenzialmente molto serie.

Sampson, già autore di Aurous – il “Popcorn Time della musica” finito subito nel mirino dell’industria del copyright – ha scoperto che la necessità di far girare un intero client BitTorrent in un browser Web ha portato a scelte di programmazione “creative” e, in ultima istanza, pericolose.

Torrents Time fa prima di tutto abuso della tecnica di cross-origin resource sharing (CORS) per la richiesta di risorse da una pagina Web esterna, un metodo che nel plug-in può portare alla compromissione sia dei contenuti scaricati che dell’indirizzo IP reale dell’utente.

Un altro problema non secondario è il fatto che Torrents Time giri in maniera persistente in background, un consumo di risorse che tra le altre cose potrebbe portare a consumi imprevisti della batteria nel caso dei sistemi portatili. Da un bug nell’utilizzo della CPU si potrebbe passare a falle ancora più serie, dice Sampson.

L’analisi dell’autore di Aurous suggerisce di abbandonare i due secondi di praticità guadagnati con un plug-in Web come Torrents Time per utilizzare un client BitTorrent desktop completo, una soluzione molto meno problematica per la condivisione di contenuti – al netto dello streaming diretto – che presto potrebbe tornare a essere l’unica scelta possibile se le major riusciranno ad affossare il progetto Torrents Time come già hanno detto di voler fare .

Alfonso Maruccia