Notebookcheck Logo

qBittorrent спокойно устраняет 14-летнюю брешь в системе безопасности

Источник изображения: Сгенерированный искусственным интеллектом логотип любезно предоставлен qBittorrent
Источник изображения: Сгенерированный искусственным интеллектом логотип любезно предоставлен qBittorrent
qBittorrent, популярный торрент-клиент, уже 14 лет оставляет открытым ключевой бэкдор. Мера безопасности, которая начала игнорироваться еще в 2010 году, теперь вновь введена в действие. Пользователям не было сказано ни слова об этом исправлении, кроме обычных примечаний к патчу.

qBittorrent, популярное приложение для пирингового обмена файлами, появившееся в 2006 году, уже более года принимает практически любой SSL-сертификат в доменах и адресах, вводимых в компонент DownloadManager приложения более 14 лети теперь эта уязвимость исправлена. Исправление, создавшее потенциальную брешь в системе безопасности, было представлено еще в апреле 2010 года и было довольно простым; все, что оно делало, это меняло состояние проверки SSL по умолчанию с включенного на отключенное. Это позволило избавиться от досадных ошибок безопасности, которые потенциально могли раздражать пользователей и мешать им загружать контент из непроверенных источников. Начиная с 28 октября 2024 года и версии 5.0.1, состояние по умолчанию снова стало включенным. Стоит отметить, что qBittorrent не дал никаких объяснений этому изменению и не уведомил пользователей каким-либо особым способом, помимо обычных примечаний к патчам, которые сопровождают новые версии.

SSL-сертификаты - это маркеры безопасности, которые делают две вещи: они проверяют, что источник веб-трафика исходит от того сайта, о котором он заявляет, и позволяют шифровать содержимое, передаваемое по этому соединению. Учитывая, что протокол BitTorrent основан на передаче файлов по принципу "равный-равному", вполне логично, что можно получать совершенно безопасные файлы с чьего-то домашнего сервера или даже со своего компьютера, а это значит, что он может быть не приспособлен для авторизации SSL-сертификата. Если оставить эту галочку отключенной, пользователи смогут общаться с такими источниками и скачивать с них без проблем.

Обратная сторона проблемы заключается в том, что отсутствие SSL-сертификата или принятие незаконного сертификата открывает возможность практически любому источнику веб-трафика с любого сервера выдавать себя за тот, к которому пытается обратиться пользователь. Это, в свою очередь, позволит плохим игрокам перехватывать трафик, возможно, красть информацию с хост-систем или пользовательских систем, а также внедрять практически любой код, который они захотят. Во многих отношениях такая атака типа "человек посередине" обходит многие традиционные меры безопасности, такие как брандмауэры, которые в противном случае защитили бы пользователей от плохих игроков.

Настройка, определяющая, будет ли приложение принимать соединение без проверки SSL-сертификата, по-прежнему доступна пользователям, поэтому те, кто готов рискнуть, могут просто отключить ее. Среднестатистический пользователь "plug-and-play" обычно не заглядывает в настройки приложения перед его использованием, не знает, как работают SSL-сертификаты и какие риски возникают при отключении этой настройки, что делает этот шаг положительным для безопасности приложений.

Этот важный материал точно понравится твоим друзьям в социальных сетях!
Mail Logo
'
Daniel Fuller, 2024-11- 2 (Update: 2024-11- 2)