O qBittorrent corrige discretamente uma falha de segurança de 14 anos

o qBittorrent, um popular aplicativo de compartilhamento de arquivos peer-to-peer que existe desde 2006, tem aceitado praticamente qualquer certificado SSL em domínios e endereços colocados no componente DownloadManager do aplicativo há mais de 14 anose agora corrigiu essa vulnerabilidade. O commit que criou a possível falha de segurança foi introduzido em abril de 2010 e era bastante simples; tudo o que ele fez foi alterar o estado padrão da verificação SSL de ativado para desativado. Isso eliminou os incômodos erros de segurança, algo que poderia incomodar os usuários e impedi-los de baixar conteúdo de fontes não verificadas. A partir de 28 de outubro de 2024 e da versão 5.0.1, o estado padrão está novamente definido como ativado. É importante observar que o qBittorrent não ofereceu nenhuma explicação para a alteração e não notificou os usuários de nenhuma maneira especial, além das notas de correção usuais que acompanham as novas versões.

Os certificados SSL são tokens de segurança que fazem duas coisas: verificam se uma fonte de tráfego da Web está vindo do site de onde afirma vir e permitem que o conteúdo que passa por essa conexão seja criptografado. Considerando que o BitTorrent, como protocolo, baseia-se na transferência de arquivos ponto a ponto, é lógico que alguém pode estar recebendo arquivos perfeitamente seguros do servidor doméstico de alguém, ou até mesmo do seu PC, o que significa que essa pessoa pode não estar devidamente equipada para criar um certificado SSL. Deixar essa verificação desativada permitiria que os usuários se comunicassem com essas fontes e fizessem download delas sem problemas.

O outro lado da questão é que a falta de um certificado SSL, ou a aceitação de um certificado ilegítimo, abre a possibilidade para que praticamente qualquer fonte de tráfego da Web de qualquer servidor se faça passar por aquela que o usuário está tentando acessar. Isso, por sua vez, permitiria que agentes mal-intencionados sequestrassem o tráfego, possivelmente roubando informações de sistemas host ou de sistemas de usuários e possivelmente injetando praticamente qualquer código que desejassem. De muitas maneiras, esse tipo de ataque man-in-the-middle evita muitas medidas de segurança convencionais, como firewalls, que, de outra forma, protegeriam os usuários de agentes mal-intencionados.

A configuração que determina se o aplicativo aceitará uma conexão sem executar uma verificação de certificado SSL ainda está acessível aos usuários, portanto, aqueles que estiverem dispostos a correr o risco podem simplesmente desativá-la. Normalmente, não se espera que o usuário comum de plug-and-play se aprofunde nas configurações do aplicativo antes de usá-lo, ou que saiba como os certificados SSL funcionam e quais riscos são criados ao deixar a configuração desativada, o que torna essa mudança positiva para a segurança do aplicativo.