qBittorrent po cichu naprawia 14-letnią lukę w zabezpieczeniach

qBittorrent, popularna aplikacja do udostępniania plików peer-to-peer, która istnieje od 2006 roku, od ponad lat akceptuje prawie każdy certyfikat SSL w domenach i adresach umieszczonych w komponencie DownloadManager aplikacji ponad 14 lata teraz załatała tę lukę. Commit, który stworzył potencjalną lukę w zabezpieczeniach, został wprowadzony w kwietniu 2010 roku i był dość prosty; wszystko, co zrobił, to zmiana domyślnego stanu weryfikacji SSL z włączonego na wyłączony. Pozwoliło to wyeliminować irytujące błędy bezpieczeństwa, które mogły potencjalnie denerwować użytkowników i uniemożliwić im pobieranie treści z niezweryfikowanych źródeł. Od 28 października 2024 r. i wersji 5.0.1 domyślny stan jest ponownie ustawiony na włączony. Warto zauważyć, że qBittorrent nie zaoferował żadnego wyjaśnienia tej zmiany i nie powiadomił użytkowników w żaden specjalny sposób, poza zwykłymi informacjami o poprawkach, które towarzyszą nowym wersjom.

Certyfikaty SSL to tokeny bezpieczeństwa, które pełnią dwie funkcje: weryfikują, czy źródło ruchu internetowego pochodzi z witryny, z której twierdzi, że pochodzi, oraz umożliwiają szyfrowanie treści przechodzących przez to połączenie. Biorąc pod uwagę, że BitTorrent, jako protokół, opiera się na przesyłaniu plików peer-to-peer, ma to uzasadnienie, że można odbierać całkowicie bezpieczne pliki z czyjegoś domowego serwera, a nawet komputera, co oznacza, że mogą one nie być odpowiednio wyposażone do autoryzacji certyfikatu SSL. Pozostawienie tej opcji wyłączonej pozwoliłoby użytkownikom na bezproblemową komunikację i pobieranie z takich źródeł.

Z drugiej strony, brak certyfikatu SSL lub akceptacja nielegalnego certyfikatu otwiera możliwość dla prawie każdego źródła ruchu internetowego z dowolnego serwera, aby udawać ten, do którego użytkownik próbuje dotrzeć. To z kolei pozwoliłoby złym aktorom na przejęcie ruchu, potencjalną kradzież informacji z systemów hosta lub użytkowników, a także wstrzyknięcie niemal dowolnego kodu. Pod wieloma względami ten rodzaj ataku man-in-the-middle omija wiele konwencjonalnych środków bezpieczeństwa, takich jak zapory ogniowe, które w przeciwnym razie chroniłyby użytkowników przed złymi aktorami.

Ustawienie, które reguluje, czy aplikacja zaakceptuje połączenie bez przeprowadzania weryfikacji certyfikatu SSL, jest nadal dostępne dla użytkowników, więc ci, którzy chcą podjąć ryzyko, mogą je po prostu wyłączyć. Przeciętny użytkownik plug-and-play zwykle nie powinien zagłębiać się w ustawienia aplikacji przed jej użyciem lub wiedzieć, jak działają certyfikaty SSL i jakie ryzyko stwarza pozostawienie wyłączonego ustawienia, dzięki czemu ten ruch jest pozytywny dla bezpieczeństwa aplikacji.