Tensai stellte kürzlich fest, dass die aktuelle Version des Usenet-Clients Momentum die Passwörter an den eigenen Indexer Newzbee überträgt.
Tensai, der Tech-Admin des Usenetforums Fileleechers, ist erneut auf eine interessante „Sicherheitslücke“ der Download-Programme Momentum und Momentum Plus aufmerksam geworden. Nach Eingang eines Hinweises untersuchte Tensai den Quellcode und den Internetverkehr dieses für Anfänger gut geeigneten Usenet-Clients. Die Analyse zeigt: Zumindest die aktuelle Version v2.8.0 übermittelt erneut die Passwörter von passwortgeschützten Usenet-Uploads an den hauseigenen Indexer NewZBee.org.
Hersteller hat Momentum heimlich modifiziert
Die Vorgehensweise ist vergleichbar mit der vom April 2020. Lädt man mit Momentum eine passwortgeschützte Datei herunter und gibt anschließend dass Passwort bei Momentum (und auch bei Momentum Plus) zum Entpacken ein, so überträgt augenblicklich das Programm das Passwort an Newzbee. Auf den eigentlich passwortgeschützten Upload können anschließend sofort alle Nutzer ohne Kenntnis des Passworts zugreifen. Momentum zeigt das Passwort sogar hinterher in Form eines Kommentars zum Upload an. Dieses Verhalten betrifft nur Uploads, die mit Momentum über den Newzbee Indexer gesucht und dann direkt heruntergeladen werden. Wird ein Download über den Import einer NZB-Datei gestartet, scheinen keine Daten an Newzbee übertragen zu werden.
It’s not a bug, it’s a feature?
Momentum wurde von Tensai schon im April 2020 untersucht, wobei er damals feststellte, dass das Programm seinerzeit nicht nur die Passwörter von geschützten Uploads, inklusive derjenigen von importierten NZB-Dateien an Newzbee übermittelte, sondern auch die Zugangsdaten (Benutzername und Passwort im Klartext) des verwendeten Usenet-Providers. Das ist bei Momentum v2.8.0 offenbar nicht der Fall. Tensai hat seine Anschuldigung mit diversen Screenshots unterlegt, die das Ausplaudern der Passwörter ganz klar belegen.
Die Holmez Softsolution Pte. Ldt., der Hersteller des Programms, reagierte damals zeitnah auf unsere Berichterstattung. Anschließend brachte man im Frühjahr 2020 ein Update heraus, in dem man diese Funktionen deaktiviert hatte. Irgendwann hat man dieses „Feature“ dann heimlich wieder eingebaut. Offenbar dann, als sich der Lärm ein wenig gelegt hatte.
Momentum bessert sein Portfolio an Warez auf
HolmeZ, der andere Newsreader, der auch als Android-App veröffentlicht wurde, ist nicht mehr unter der alten Internet-Adresse verfügbar. Wie es aussieht, wollte sich im Vormonat der gleichnamige Hersteller damit offenbar auf die „Weiterentwicklung“ nur noch eines Programms konzentrieren. Selbstredend ist in allen gängigen deutschsprachigen Usenet-Foren weiterhin die Nutzung von Momentum und Momentum Plus verboten. Wer es dennoch tut, muss mit einer sofortigen Löschung seines Accounts rechnen.
Anbieter frei von jeglicher Skrupel?
Der Programmierer Tensai schlussfolgert, dass das wiederholte Fehlverhalten ganz klar zeigt, dass die für die Modifikation verantwortliche Holmez Softsolution Pte. Ldt. „keinerlei Skrupel hat, Inhalte anderer Anbieter (Usenetforen) zu stehlen, um damit sein eigenes Angebot aufzubessern. Denn mit dem Abgreifen der Passwörter werden den Momentum-Benutzern Inhalte zugänglich, auf welche sie eigentlich gar kein Anrecht hätten.“