image

QBittorrent was veertien jaar lang kwetsbaar voor mitm-aanvallen

donderdag 31 oktober 2024, 16:55 door Redactie, 2 reacties

Bittorrent-client qBittorrent was ruim veertien jaar lang kwetsbaar voor man-in-the-middle (mitm)-aanvallen. Sinds april 2010 werd elk willekeurig tls-certificaat geaccepteerd, waaronder verlopen en zelf-gesigneerde certificaten. Eerder deze week verscheen versie 5.0.1 waarin het probleem is verholpen. Dat laat Sharp Security in een analyse weten. In de release notes staat als bugfix vermeld 'Don't ignore SSL errors'.

Een aanvaller zou op verschillende manieren misbruik van het probleem kunnen maken. QBittorrent voert namelijk verschillende controles uit, waarbij het hardcoded URL's gebruikt om te kijken of de gebruiker Python moet downloaden/installeren, of er nieuwe updates beschikbaar zijn, het automatisch downloaden van een .gz extension binary en het updaten van RSS-feeds.

"Een ander aspect van de hardcoded URL's is dat een aanvaller alleen verzoeken van qBittorrent kan onderscheppen die de verbinding niet verifiëren, in plaats van een slachtoffer te waarschuwen wanneer zijn browser of andere applicaties er niet in slagen om veilig verbinding te maken met internet", aldus Sharp Security. Dat voegt toe dat een aanvaller via de mitm-aanval links in de qBittorrent RSS-viewer, update URL's en aangeboden Python-bestanden kan vervangen door malware.

Reacties (2)
Gisteren, 17:46 door Anoniem
Daarom altijd p2p-clients, mailclients, browsers e.d. in een sandbox draaien.
Gisteren, 19:57 door Anoniem
Fantastisch stukje software qBittorrent, hoop dat ze nu alsnog een update voor Windows 7 uitbrengen.
Slinger hem altijd aan, zodat de computer altijd nuttig bezig is.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.