El investigador de seguridad de Google Project Zero, Tavis Ormandy, acaba de
anunciar la existencia de una vulnerabilidad bastante grave en uTorrent, el
conocido cliente de descargas torrent que cuenta con docenas de millones de
usuarios en todo el mundo.
Por motivos de
seguridad, el investigador no reveló la información técnica sobre este fallo
para dar tiempo a BitTorrent a solucionar el fallo. Dado que, finalmente, la
desarrolladora no hablaba al respecto, Tavis, finalmente, optó por hacerla
pública, junto con un exploit totalmente funcional que lo demuestra. Esta
vulnerabilidad en cuestión se forma por una serie de fallos JSON-RPC que, de
explotarse correctamente utilizando DNS Rebinding, pueden dar lugar a la
posibilidad de ejecutar código remoto en el sistema o revelar información
sensible sobre el mismo.
uTorrent lanza un
parche contra esta vulnerabilidad, aunque, según Google, no es precisamente
efectivo
Una vez que el código
se hizo público, BitTorrent lanzó una nueva versión beta de su cliente de
descargas uTorrent para solucionar este fallo de seguridad. Sin embargo, un
estudio del parche introducido para protegernos de este fallo demuestra que, en
realidad, no protege del fallo de seguridad, sino que simplemente introduce un
segundo token en uTorrent Web para romper el exploit de Tavis, exploit que ya
ha sido actualizado y que, como era de esperar, sigue funcionando a la
perfección.
I just
fixed the exploit and verified it still works. I would recommend asking
BitTorrent to resolve this issue if you're affected, and it works in the
default configuration so you probably are. Sigh.
— Tavis
Ormandy (@taviso) February 20, 2018
Por el momento solo
queda esperar a que BitTorrent asuma el fallo de seguridad en uTorrent y se
digne a solucionarlo como es debido, algo de lo que, por el momento, no se sabe
nada.
Cómo protegernos de este fallo de seguridad
en uTorrent
Como hemos dicho,
aunque uTorrent ha lanzado un parche de seguridad, este realmente no sirve para
nada. Por ello, si queremos estar seguros, lo mejor es borrar de nuestro
ordenador uTorrent y optar por usar otro cliente de descargas, como
Transmission 2.93 (versión que ha solucionado el mismo fallo de seguridad que
ahora golpea a uTorrent), o qBittorrent, entre otras muchas alternativas
OpenSource.
Otro motivo para
abandonar uTorrent es pensar en el pasado. Este cliente de descargas es el más
conocido y utilizado, pero es uno de los peores, no solo por estar plagado de
publicidad, sino porque la compañía no se caracteriza por ser precisamente
fiable, y es que no es la primera vez que ha escondido malware (software de
minado de criptomonedas, ahora que están de moda) dentro del cliente,
aprovechándose de los usuarios.
¿Eres usuario de
uTorrent? ¿Vas a seguir utilizando este cliente de descargas o buscarás otra
alternativa?
Fuente: torrentfreak