Risolto bug di sicurezza in qBittorrent: gli utenti sono rimasti esposti per 14 anni

Una vulnerabilità nella gestione dei certificati SSL/TLS ha permesso potenziali attacchi man-in-the-middle dal 2010. La correzione arriva con l'ultimo aggiornamento del popolare client BitTorrent.

di Nino Grasso pubblicata il 04 Novembre 2024, alle 10:01 nel canale Web

La sicurezza degli utenti qBittorrent è stata potenzialmente compromessa per oltre 14 anni a causa di una vulnerabilità presente nel sistema integrato per la gestione dei download. L'applicazione, ampiamente utilizzata per la condivisione di file tramite protocollo BitTorrent, ha presentato dal 2010 una falla nella validazione dei certificati SSL/TLS che poteva esporre gli utenti ad attacchi man-in-the-middle.

qBittorrent Security Update

A rivelare il rischio di sicurezza è stata una ricerca condotta da Sharp Security, che ha rivelato come il DownloadManager dell'applicazione accettasse indiscriminatamente qualsiasi certificato, compresi quelli contraffatti o non legittimi. La vulnerabilità, introdotta in un commit del 6 aprile 2010, ha persistito fino al rilascio della versione 5.0.1 del 28 ottobre 2024.

qBittorrent, corretta falla segnalata oltre 14 anni fa

La mancata convalida dei certificati SSL ha esposto gli utenti a molteplici rischi di sicurezza: ad esempio, eventuali aggressori avrebbero potuto intercettare le comunicazioni e sostituire contenuti legittimi con payload malevoli contenenti qualsiasi tipo di exploit. Le vulnerabilità identificate includevano la possibile distribuzione di un installer Python malevolo su Windows e l'intercettazione dei feed di aggiornamento dell'applicazione.

Gli scenari di attacco comprendevano anche la manipolazione dei feed RSS integrati nell'applicazione e la potenziale compromissione del database GeoIP, utilizzato per funzionalità di geolocalizzazione. L'assenza di una corretta validazione dei certificati permetteva a malintenzionati di presentarsi come server legittimi, compromettendo l'integrità dei dati trasmessi. Come già scritto, per proteggersi dalla vulnerabilità è necessario installare la versione versione 5.0.1, rilasciata di recente, che modifica il comportamento predefinito del sistema di validazione dei certificati.

La risoluzione è avvenuta senza l'assegnazione di un identificativo CVE e con una limitata comunicazione verso gli utenti finali, un fatto curioso considerando la potenziale criticità degli attacchi segnalati dai ricercatori. Gli attacchi man-in-the-middle, sebbene spesso considerati poco probabili, possono rappresentare una minaccia concreta, particolarmente in aree geografiche caratterizzate da elevati livelli di sorveglianza digitale. Chi utilizza qBittorrent, insomma, dovrebbe aggiornare al più presto l'app all'ultima versione disponibile per mitigare i rischi evidenziati.

I migliori sconti su Amazon oggi

-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 799.00€ Compra ora

-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90€ Compra ora

-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00€ Compra ora

Shopping online: i consumatori italiani scettici sulle nuove modalità. L'analisi di VTEX

TOP 7 del giorno Amazon: super sconti (Apple, Samsung, Lenovo) su hard disk, portatili, AirPods, iPad, smartphone e altro!

Fantapollo04 Novembre 2024, 10:51 #1

Si racconta sempre che l'opensource sia più sicuro...

omerook04 Novembre 2024, 10:56 #2

Originariamente inviato da: Fantapollo

Si racconta sempre che l'opensource sia più sicuro...

Le vulnerabilità identificate includevano la possibile distribuzione di un installer Python malevolo su Windows ..

raxas04 Novembre 2024, 11:32 #3

Originariamente inviato da: Redazione di Hardware Upgrade

Link alla notizia: https://www.hwupgrade.it/news/web/r...nni_132410.html

Una vulnerabilità nella gestione dei certificati SSL/TLS ha permesso potenziali attacchi man-in-the-middle dal 2010. La correzione arriva con l'ultimo aggiornamento del popolare client BitTorrent.

Click sul link per visualizzare la notizia.

Come?
Cosa?
Da BEN QUATTORDICI ANNI?

E ci se ne accorge ora?

Penso che per l'esposizione al MAN-IN-THE-MIDDLE, gli utenti possono allora essere stati definiti quali:

MEN-IN-THE-QUAGMIRE*

[SIZE="1"] (* QUAGMIRE=PANTANO)[/SIZE]
: D

(trad. cit. UOMINI NEL PANTANO )

marcram04 Novembre 2024, 12:31 #4

Originariamente inviato da: Fantapollo

Si racconta sempre che l'opensource sia più sicuro...

Ed infatti, a parità di condizioni, lo è.

Darkon04 Novembre 2024, 12:46 #5

Sinceramente qBittorrent non mi è mai piaciuto.

Per me i client interessanti sono:

1) BiglyBT
2) Deluge

Non vedo perché andarsi a impantanare quando con questi due sostanzialmente si coprono tutte le necessità.

biometallo04 Novembre 2024, 13:14 #6

Originariamente inviato da: marcram

Ed infatti, a parità di condizioni, lo è.

Eppure l'articolo di Sharp Security ci dice che il maggiore pericolo deriva proprio dalla natura os:

Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

Per quanto dal basso della mia ignoranza non ho mai creduto molto nella "sicurezza tramite segretezza"

Comunque se ho capito bene questa falla, che probabilmente non è nemmeno stata concretamente mai usata era inerente l'update automatico, chi aveva disattivato questa funzione o usato una versione "portable" era quindi fuori pericolo

Originariamente inviato da: Darkon

Sinceramente qBittorrent non mi è mai piaciuto.

De gutibus, anche se sono anni che non scarico un solo file torrent, anni fa dopo aver abbandonato utorrent ero passato proprio a qbittorent che fra i tanti client che ho provato era quello più leggero e con l'interfaccia simile a utorrent... avevo provato anche Deluge ma a memoria non mi era piaciuto molto, BiglyBT invece non l'avevo mai sentito.

Darkon04 Novembre 2024, 13:27 #7

Originariamente inviato da: biometallo

Delunge diciamo che è per chi ha esigenze particolari e specifiche. Non è esattamente "amichevole" come client. Ad esempio è interessante per chi ha necessità di una interfaccia remota via web.

Bigly invece è super funzionale per l'utente in generale. Si basa su quello che era ai tempi Azureus ed è stato riscritto senza ads, bloat ware e simili rendendolo forse il client più funzionale per chi vuole prendere un torrent e scaricarlo senza saper configurare una ceppa fermo restando che ha tantissime funzioni avanzate per chi si vuole sbizzarrire.

marcram04 Novembre 2024, 13:39 #8

Originariamente inviato da: biometallo

Ma lì parla del carico malevolo, che può essere inserito nel programma, compilato, e diffuso.
Al posto della versione modificata di quel programma, avrebbero potuto far installare qualsiasi malware...

La falla, invece, sta nel "non" controllo dei certificati dei server di download.
E la differenza tra open e closed source sta solo nel fatto che, se fosse stato closed, magari ancora non saremmo a conoscenza della falla...

Antonio F2.04 Novembre 2024, 14:55 #9

Originariamente inviato da: biometallo

per usare un francesismo: bella troiata.
è esattamente l'opposto.
anzi, qualcuno si ricorda di Interbase? alla sharp security hanno la memoria corta, vedo.

benderchetioffender04 Novembre 2024, 17:05 #10

Originariamente inviato da: biometallo

Sharp Security
Because this software is open source, it is trivial to add a backdoor to it and recompile, and therefore give a victim fully functional software, avoiding the victim’s suspicion.

Comunque se ho capito bene questa falla, che probabilmente non è nemmeno stata concretamente mai usata era inerente l'update automatico, chi aveva disattivato questa funzione o usato una versione "portable" era quindi fuori pericolo

a parte che quel fraseggio di Sharp Sec. è palesemente pilotato da pregiudizi: è chiaro che chiunque puo ricompilare e immettere nel network roba edulcorata: è successo e succederà ancora, sia nell'open che nel closed.
- ma di sicuro se succede c'è una speranza in piu che qualcuno ci metta becco e scopra gli altarini rispetto una situazione closed, poco ma sicuro -

sull'update automatico, di quelli non mi son mai fidato veramente al 100%

PS: comunque ci sono bug anche nel closed che sono li da decenni e nessuno li ha mai tappati, sorpresa!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.

tutti gli articoli »

tutte le news »

Multimedia
Gallerie
Video

Sony FE 50-150mm F2 G Master. il bokeh monster ora è zoom

Mazda 6e è l'elettrica della svolta

Star Wars: Bruno

114

World Press Photo: i vincitori del Contest 2025

Renault 5 Turbo 3E

Toyota C-HR+, ecco le primissime foto dell'auto elettrica giapponese

Lenovo ThinkPad X9-14 Aura Edition: leggero e sottile per i professionisti Abbina una costruzione molto curata, con un telaio in alluminio leggero, sottile e robusto, ad una piattaforma Intel Core Ultra 7 di ultima generazione con supporto...

REDMAGIC 10 Air: potenza da gaming in un corpo leggero e moderno. Recensione REDMAGIC 10 Air è l'evoluzione degli smartphone da gaming con un design più sottile e leggero rispetto al 10 Pro, mantenendo prestazioni elevate grazie allo Snapdragon...

Analisi tecnica The Last of Us Parte II Remastered per PC: stavolta ci siamo! Abbiamo avuto l'opportunità di provare The Last of Us Parte II Remastered per PC, titolo che chiude (almeno stando alle parole di Naughty Dog) una delle saghe simbolo...

DJI Osmo Mobile 7P: ti segue anche con la fotocamera nativa dello smartphone! Grande novità per il nuovo gimbal DJI Osmo Mobile 7P: grazie al modulo multifunzione incluso, dotato di telecamera, ora l'inseguimento del soggetto è possibile anche...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

CRESCO8, la Formula 1 dell’HPC: ENEA e Lenovo insieme per affrontare le sfide della ricerca ENEA inaugura CRESCO8, il supercomputer realizzato con Lenovo per affrontare le grandi sfide scientifiche: dalla fusione nucleare al clima, dalla bioinformatica...

Renault Emblème: la familiare del futuro elettrica, sostenibile e riciclabile Con il progetto Emblème Renault propone una vettura familiare importante nelle dimensiooni, che abbina batteria elettrica ad un'alimentazione alternativa a idrogeno...

Fujifilm X100VI: con le 'ricette' è la fotocamera più divertente del momento Fujifilm X100VI è la fotocamera perfetta per divertirsi con la street photography: è tascabile, offre grande qualità, ma soprattutto permette di giocare molto con...

No Rss

Risolto bug di sicurezza in qBittorrent: gli utenti sono rimasti esposti per 14 anni

qBittorrent, corretta falla segnalata oltre 14 anni fa

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

11 Commenti