O cliente de download de arquivos qBittorrent tinha uma falha grave que o deixava exposto a ataques e até execução remota de código por cibercriminosos. A informação é da Sharp Security, empresa de cibersegurança que descobriu o problema e realizou o alerta aos desenvolvedores da empresa.
A brecha afetava as versões 3.2.1 até a 5.0.0 do programa. Na prática, isso significa que se passaram 14 anos entre a atualização que gerou o problema e a sua correção. Ao menos no relatório, não há informação de que ela foi explorada por cibercriminosos.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
A falha estava na forma do qBittorrent lidar com certificados digitais. Após um atualização do programa, ele passou a aceitar certificados sem análises ou critérios — o que significa que solicitações falsas, ilegais ou já expiradas poderiam burlar as barreiras de segurança do gerenciador de downloads da plataforma.
qBittorrent Dessa forma, o programa permitia desde a injeção de scripts maliciosos até a execução de códigos remotamente. Invasores poderiam usar essas autorizações antigas ou expiradas para instalar arquivos executáveis de malware em múltiplos canais, incluindo por URLs no navegador até via feeds RSS.
Como exemplo da abertura fornecida pelo cliente aos computadores dos usuários, a equipe da Sharp Security conseguiu abrir o aplicativo de Calculadora a partir de um comando enviado via qBittorrent. Usado no cibercrime, esse método poderia envolver o download e a execução forçada de malwares.
Atualização já foi lançada e corrige falha
A atualização 5.0.1 do qBittorrent corrige totalmente a brecha e passa a verificar certificados no programa. Isso significa que a atualização dele é altamente recomendada o mais rápido possível para todos os usuários, mesmo que você use pouco o programa.
Apesar de ter corrigido a falha após o aviso, os desenvolvedores ainda foram criticados no relatório.
A atualização foi enviada sem maiores informações aos usuários, mesmo sendo tão importante, e sem atribuir um código de vulnerabilidades e exposições de dados (CVE) no banco de dados mais popular do setor, o que poderia ajudar outros serviços e produtos.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
Fontes
