14 años en peligro: qBittorrent dejó sin protección a millones de usuarios
Una violación desapercibida podría provocar una fuga de datos a gran escala.
En el popular cliente de BitTorrent qBittorrent se ha solucionado una vulnerabilidad grave, relacionada con la falta de verificación de los certificados SSL/TLS en el componente DownloadManager, encargado de gestionar las descargas. Este problema permitía a los atacantes ejecutar ataques de "hombre en el medio" (MitM) e interceptar datos haciéndose pasar por un servidor confiable.
El error apareció en el código del programa el 6 de abril de 2010 y permaneció sin corregir durante más de 14 años. Como resultado, qBittorrent confiaba en cualquier certificado, incluyendo los falsos, lo que dejaba a los usuarios vulnerables. La actualización a la versión 5.0.1, lanzada el 28 de octubre de 2024, finalmente solucionó este problema.
qBittorrent es un cliente gratuito y de código abierto popular para descargar e intercambiar archivos mediante el protocolo BitTorrent, que ofrece soporte para filtrado de IP, búsqueda integrada, fuentes RSS y una interfaz moderna basada en Qt. La situación de seguridad atrajo la atención tanto de expertos como de usuarios comunes.
La compañía Sharp Security destacó que los desarrolladores de qBittorrent no notificaron a los usuarios sobre la vulnerabilidad ni le asignaron un identificador CVE, lo que dificultó el seguimiento del problema. Los investigadores señalaron cuatro riesgos clave para los usuarios asociados con esta vulnerabilidad.
Primero, si Python no está presente en Windows, qBittorrent sugiere instalarlo solicitando los datos a través de una URL. Debido a la falta de verificación del certificado, los atacantes podrían haberlo sustituido por una versión maliciosa.
En segundo lugar, el sistema de actualizaciones de qBittorrent mediante un canal XML podría haber sido vulnerable a un ataque que permitiera insertar enlaces maliciosos en lugar de actualizaciones. Esto también era posible debido a la falta de verificación SSL.
Además, la vulnerabilidad afectaba las fuentes RSS, abriendo la posibilidad de que los atacantes sustituyeran los enlaces de descarga de archivos, haciéndolos potencialmente peligrosos. Otro riesgo residía en la descarga de la base de datos GeoIP, donde los atacantes podrían utilizar una URL no confiable para instalar código malicioso.
Los desarrolladores recomiendan a los usuarios actualizar inmediatamente a la versión 5.0.1 para proteger sus datos y prevenir riesgos asociados con conexiones no seguras.
¿Estás cansado de que Internet sepa todo sobre ti?