qBittorrent si mette al sicuro da attacchi MitM, dopo 14 anni
Topic
Approfondimenti
Trending
tutti

qBittorrent si mette al sicuro da attacchi MitM, dopo 14 anni

La nuova versione di qBittorrent corregge una vulnerabilità che, per 14 anni, ha esposto i suoi utenti ad attacchi man-in-the-middle.
qBittorrent si mette al sicuro da attacchi MitM, dopo 14 anni
Informatica App e Software
La nuova versione di qBittorrent corregge una vulnerabilità che, per 14 anni, ha esposto i suoi utenti ad attacchi man-in-the-middle.
Punto Informatico

La nuova versione 5.0.1 di qBittorrent, disponibile a partire da questa settimana (l’installer è online dal 28 ottobre), risolve una vulnerabilità che, per ben 14 anni, ha esposto i suoi utenti a potenziali attacchi man-in-the-middle. La falla era legata alla mancata convalida dei certificati SSL/TSL impiegati dal Download Manager dell’applicazione, la componente che si occupa di gestire i download.

È meglio scaricare l’ultima versione di qBittorrent

Il changelog pubblicato dal team di sviluppo non menziona il fix in modo esplicito, ma l’approfondimento condiviso da Sharp Security affronta la questione nel dettaglio. Si fa riferimento a un problema noto fin dal 6 aprile 2010, a cui non è però mai stato associato un CVE.

In sintesi, negli ultimi 14 anni, qBittorrent ha accettato qualsiasi certificato, anche quelli illegittimi o falsi, permettendo di fatto ai malintenzionati di intercettare e modificare il traffico di rete attraverso l’esecuzione di azioni mirate da remoto. Eccole.

  • Il rimpiazzamento dell’URL inerente all’installazione di Python sui computer Windows che ne sono sprovvisti, con un installer modificato ad hoc in modo tale da contenere codice dannoso;
  • la sostituzione di un link legittimo per il download di un aggiornamento dell’app con un altro che punta a un malware;
  • l’inserimento di URL malevoli nei feed RSS gestiti attraverso il Download Manager del client;
  • la forzatura di un bug legato a un overflow durante il download automatico di un database GeoIP, per la trasmissione di file malevoli.

La nuova versione 5.0.1 di qBittorrent su Windows

Secondo i ricercatori, attacchi di questo tipo non sono frequenti, ma possono verificarsi soprattutto in quei territori dove si attuando operazioni di sorveglianza.

Il rilascio della prima versione di qBittorrent risale all’ormai lontano 2006, sviluppata da Christophe Dumez. L’ultima può essere scaricata direttamente dalle pagine del sito ufficiale. Dalla natura gratuita, open source e multipiattaforma, ad oggi è uno dei client più utilizzati da chi si affida al protocollo per la condivisione peer-to-peer.

Fonte: Sharp Security

Pubblicato il 1 nov 2024

Link copiato negli appunti

Ti potrebbe interessare

AltStore PAL porta BitTorrent sugli iPhone

AltStore PAL porta BitTorrent sugli iPhone
The Fanimatrix: il torrent più vecchio è ancora vivo

The Fanimatrix: il torrent più vecchio è ancora vivo
Piracy Shield: AirVPN chiude il servizio in Italia

Piracy Shield: AirVPN chiude il servizio in Italia
Anthropic annuncia l'app desktop per Claude

Anthropic annuncia l'app desktop per Claude
AltStore PAL porta BitTorrent sugli iPhone

AltStore PAL porta BitTorrent sugli iPhone
The Fanimatrix: il torrent più vecchio è ancora vivo

The Fanimatrix: il torrent più vecchio è ancora vivo
Piracy Shield: AirVPN chiude il servizio in Italia

Piracy Shield: AirVPN chiude il servizio in Italia
Anthropic annuncia l'app desktop per Claude

Anthropic annuncia l'app desktop per Claude
Cristiano Ghidotti
Pubblicato il
1 nov 2024
Link copiato negli appunti