qBittorrent是一款流行的torrent客户端,它留下了一个关键的后门,已经开放了14年。早在2010年,一项安全措施就被忽略了,现在正在重新实施。除了常见的补丁说明外,没有向用户透露有关此修复的消息。
qBittorrent是一款流行的点对点文件共享应用程序,诞生于2006年左右,14年来,它一直接受输入到应用程序DownloadManager组件中的域和地址中的几乎所有SSL证书,现在已经修补了该漏洞。造成潜在安全漏洞的提交早在2010年4月就被引入,非常简单;它所做的就是将SSL验证的默认状态从启用更改为禁用。这消除了令人讨厌的安全错误,这些错误可能会惹恼用户并阻止他们从未经验证的来源下载内容。截至2024年10月28日和版本5.0.1,默认状态再次设置为启用。值得注意的是,qBittorrent没有对这一变化做出任何解释,也没有以任何特殊方式通知用户,除了新版本附带的常规补丁说明之外。
SSL证书是一种安全令牌,它有两个作用:验证网络流量来源是否来自其声称来自的网站,并允许加密通过该连接的内容。鉴于BitTorrent协议是基于点对点文件传输的,因此可以推断出有人可能会从某人的家庭服务器甚至他们的PC接收完全安全的文件,这意味着他们可能不具备编写SSL证书的适当能力。禁用此检查将允许用户与此类来源进行通信和下载,而不会出现问题。
问题的另一面是,缺少SSL证书或接受非法证书,几乎任何服务器的任何网络流量来源都有可能冒充用户试图访问的服务器。这反过来又会让不法分子劫持流量,可能从主机系统或用户系统窃取信息,并可能注入他们想要的几乎任何代码。在许多方面,这种中间人攻击绕过了许多传统的安全措施,例如防火墙,这些措施原本可以保护用户免受不法分子的侵害。
用户仍然可以访问控制应用是否接受未执行SSL证书验证的连接设置的设置,因此那些愿意冒险的用户只需将其禁用即可。一般的即插即用用户通常不需要在使用应用前深入了解应用设置,也不需要了解SSL证书的工作原理以及禁用该设置会带来哪些风险,因此这一举措对应用安全来说是一件好事。