qBittorrent corregge tranquillamente una falla di sicurezza di 14 anni fa

qBittorrent, una popolare applicazione per la condivisione di file peer-to-peer che esiste dal 2006, accetta praticamente qualsiasi certificato SSL nei domini e negli indirizzi inseriti nel componente DownloadManager dell'applicazione da oltre 14 annie ora ha applicato una patch a questa vulnerabilità. Il commit che ha creato il potenziale buco di sicurezza è stato introdotto nell'aprile del 2010 ed era piuttosto semplice; tutto ciò che faceva era cambiare lo stato predefinito della verifica SSL da abilitato a disabilitato. In questo modo si eliminavano i fastidiosi errori di sicurezza, cosa che poteva potenzialmente infastidire gli utenti e impedire loro di scaricare contenuti da fonti non verificate. A partire dal 28 ottobre 2024 e dalla versione 5.0.1, lo stato predefinito è nuovamente impostato su abilitato. Vale la pena notare che qBittorrent non ha offerto alcuna spiegazione per il cambiamento e non ha informato gli utenti in modo particolare, a parte le solite note di patch che accompagnano le nuove versioni.

I certificati SSL sono token di sicurezza che svolgono due funzioni: verificano che una fonte di traffico web provenga dal sito web da cui dichiara di provenire e consentono di crittografare il contenuto che attraversa la connessione. Dato che BitTorrent, come protocollo, si basa sul trasferimento di file peer-to-peer, è ragionevole pensare che si possano ricevere file perfettamente sicuri dal server di casa di qualcuno, o persino dal suo PC, il che significa che questi potrebbe non essere adeguatamente attrezzato per autorizzare un certificato SSL. Lasciando questo controllo disattivato, gli utenti potrebbero comunicare e scaricare da tali fonti senza problemi.

Il rovescio della medaglia è che la mancanza di un certificato SSL, o l'accettazione di un certificato illegittimo, apre la possibilità a quasi tutte le fonti di traffico web, da qualsiasi server, di spacciarsi per quello che l'utente sta cercando di raggiungere. Questo, a sua volta, consentirebbe cattivi attori di dirottare il traffico, eventualmente rubando informazioni dai sistemi host o dai sistemi degli utenti, ed eventualmente iniettando quasi tutto il codice che desiderano. In molti modi, questo tipo di attacco man-in-the-middle elude molte misure di sicurezza convenzionali, come i firewall, che altrimenti proteggerebbero gli utenti dai cattivi attori.

L'impostazione che regola se l'applicazione accetterà una connessione senza eseguire una verifica del certificato SSL è ancora accessibile agli utenti, quindi chi è disposto a correre il rischio può semplicemente disabilitarla. L'utente medio del plug-and-play non è tenuto ad approfondire le impostazioni dell'app prima di utilizzarla, né a sapere come funzionano i certificati SSL e quali rischi si creano lasciando l'impostazione disattivata, il che rende questa mossa un vantaggio netto per la sicurezza delle app.