qBittorrent repareert stilletjes 14 jaar oud beveiligingslek

qBittorrent, een populaire app voor peer-to-peer bestandsdeling die al sinds 2006 bestaat, accepteert vrijwel elk SSL-certificaat in domeinen en adressen die in het DownloadManager-onderdeel van de app worden ingevoerd, en dit al meer dan 14 jaar lang al meer dan 14 jaaren heeft die kwetsbaarheid nu gepatcht. De commit die het potentiële veiligheidslek veroorzaakte, werd al in april 2010 geïntroduceerd en was vrij eenvoudig; het veranderde alleen de standaardstatus van SSL-verificatie van ingeschakeld naar uitgeschakeld. Dit maakte een einde aan vervelende beveiligingsfouten, iets dat gebruikers mogelijk kon irriteren en ervoor kon zorgen dat ze geen inhoud konden downloaden van niet-geverifieerde bronnen. Vanaf 28 oktober 2024 en versie 5.0.1 is de standaardstatus weer ingesteld op ingeschakeld. Het is vermeldenswaard dat qBittorrent geen verklaring gaf voor de verandering en gebruikers niet op een speciale manier op de hoogte bracht, afgezien van de gebruikelijke patch-notities die bij nieuwe versies horen.

SSL-certificaten zijn veiligheidstokens die twee dingen doen; ze verifiëren dat een bron van webverkeer afkomstig is van de website waarvan het beweert afkomstig te zijn, en ze zorgen ervoor dat de inhoud die over die verbinding komt, gecodeerd wordt. Aangezien BitTorrent, als protocol, gebaseerd is op peer-to-peer bestandsoverdracht, is het logisch dat men volkomen veilige bestanden kan ontvangen van iemands thuisserver, of zelfs van hun pc, wat betekent dat ze misschien niet goed uitgerust zijn om een SSL-certificaat te autoriseren. Als u deze controle uitgeschakeld laat, kunnen gebruikers zonder problemen communiceren met en downloaden van dergelijke bronnen.

De keerzijde van het probleem is dat het ontbreken van een SSL-certificaat, of het accepteren van een onwettig certificaat, de mogelijkheid opent voor bijna elke bron van webverkeer van elke server om zich voor te doen als de server die de gebruiker probeert te bereiken. Dit zou op zijn beurt slechte actoren om het verkeer te kapen, mogelijk informatie van hostsystemen of gebruikerssystemen te stelen en mogelijk bijna elke code te injecteren die ze maar willen. In veel opzichten omzeilt dit soort man-in-the-middle-aanval veel conventionele beveiligingsmaatregelen, zoals firewalls, die gebruikers anders tegen slechte actoren zouden beschermen.

De instelling die bepaalt of de app een verbinding accepteert zonder een verificatie van het SSL-certificaat uit te voeren, is nog steeds toegankelijk voor gebruikers, dus degenen die bereid zijn om het risico te nemen, kunnen dit gewoon uitschakelen. Van de gemiddelde plug-and-play gebruiker wordt doorgaans niet verwacht dat hij in de instellingen van de app duikt voordat hij deze gebruikt, of dat hij weet hoe SSL-certificaten werken en welke risico's er ontstaan door de instelling uitgeschakeld te laten, waardoor deze stap een netto positief effect heeft op de beveiliging van apps.