Notebookcheck Logo

qBittorrent corregge tranquillamente una falla di sicurezza di 14 anni fa

Fonte dell'immagine: Generata dall'AI con il logo per gentile concessione di qBittorrent
Fonte dell'immagine: Generata dall'AI con il logo per gentile concessione di qBittorrent
qBittorrent, un popolare client torrent, ha lasciato aperta una backdoor chiave per 14 anni. Una misura di sicurezza che ha iniziato ad essere saltata nel 2010, viene ora implementata nuovamente. Gli utenti non hanno ricevuto alcuna comunicazione in merito a questa correzione, oltre alle consuete note sulla patch.

qBittorrent, una popolare applicazione per la condivisione di file peer-to-peer che esiste dal 2006, accetta praticamente qualsiasi certificato SSL nei domini e negli indirizzi inseriti nel componente DownloadManager dell'applicazione da oltre 14 annie ora ha applicato una patch a questa vulnerabilità. Il commit che ha creato il potenziale buco di sicurezza è stato introdotto nell'aprile del 2010 ed era piuttosto semplice; tutto ciò che faceva era cambiare lo stato predefinito della verifica SSL da abilitato a disabilitato. In questo modo si eliminavano i fastidiosi errori di sicurezza, cosa che poteva potenzialmente infastidire gli utenti e impedire loro di scaricare contenuti da fonti non verificate. A partire dal 28 ottobre 2024 e dalla versione 5.0.1, lo stato predefinito è nuovamente impostato su abilitato. Vale la pena notare che qBittorrent non ha offerto alcuna spiegazione per il cambiamento e non ha informato gli utenti in modo particolare, a parte le solite note di patch che accompagnano le nuove versioni.

I certificati SSL sono token di sicurezza che svolgono due funzioni: verificano che una fonte di traffico web provenga dal sito web da cui dichiara di provenire e consentono di crittografare il contenuto che attraversa la connessione. Dato che BitTorrent, come protocollo, si basa sul trasferimento di file peer-to-peer, è ragionevole pensare che si possano ricevere file perfettamente sicuri dal server di casa di qualcuno, o persino dal suo PC, il che significa che questi potrebbe non essere adeguatamente attrezzato per autorizzare un certificato SSL. Lasciando questo controllo disattivato, gli utenti potrebbero comunicare e scaricare da tali fonti senza problemi.

Il rovescio della medaglia è che la mancanza di un certificato SSL, o l'accettazione di un certificato illegittimo, apre la possibilità a quasi tutte le fonti di traffico web, da qualsiasi server, di spacciarsi per quello che l'utente sta cercando di raggiungere. Questo, a sua volta, consentirebbe cattivi attori di dirottare il traffico, eventualmente rubando informazioni dai sistemi host o dai sistemi degli utenti, ed eventualmente iniettando quasi tutto il codice che desiderano. In molti modi, questo tipo di attacco man-in-the-middle elude molte misure di sicurezza convenzionali, come i firewall, che altrimenti proteggerebbero gli utenti dai cattivi attori.

L'impostazione che regola se l'applicazione accetterà una connessione senza eseguire una verifica del certificato SSL è ancora accessibile agli utenti, quindi chi è disposto a correre il rischio può semplicemente disabilitarla. L'utente medio del plug-and-play non è tenuto ad approfondire le impostazioni dell'app prima di utilizzarla, né a sapere come funzionano i certificati SSL e quali rischi si creano lasciando l'impostazione disattivata, il che rende questa mossa un vantaggio netto per la sicurezza delle app.

Please share our article, every link counts!
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2024 11 > qBittorrent corregge tranquillamente una falla di sicurezza di 14 anni fa
Daniel Fuller, 2024-11- 2 (Update: 2024-11- 2)