Ayer la noticia fue el cierre de algunas páginas web muy populares dedicadas a facilitar las descargas de contenido multimedia. Páginas que ofrecían enlaces de descarga directa pero también de enlaces Torrent. Unos enlaces para los cuales hay que usar un tipo de programa concreto, siendo el cliente uTorrent es uno de los más utilizados.
Un cliente para descargas que vuelve a estar en el ojo del huracán por no precisamente buenas noticias. Y es que uTorrent (en forma de aplicación o en la versión web) es víctima de un fallo de seguridad que pone en serio peligro a los usuarios que lo usen al posibilitar el acceso y control de nuestro equipo de forma remota.
Se trata de un fallo de seguridad ya conocido desde principios de año y que cómo en otros casos ha salido a la luz gracias al grupo de investigación Project Zero de Google. Estamos dentro de los 90 días de plazo que siempre dan Project Zero antes de hacer público el fallo, un tiempo que tiene el desarrollador para atajar el problema.
El fallo permite a un tercero hacerse con el control de nuestro equipo y acceder a los datos de usuario gracias a la funcionalidad de control remoto que ofrece uTorrent. Un problema que sigue aún presente en la aplicación que podemos tener instalada en nuestro equipo.
Hmm, it looks like BitTorrent just added a second token to uTorrent Web. That does not solve the DNS rebinding issue, it just broke my exploit. 😩
— Tavis Ormandy (@taviso) 20 de febrero de 2018
Y desde que fue descubierto, el problema sigue presente. Los desarrolladores de uTorrent no han lanzado parche alguno que solucione el problema, al menos en la versión estable de la aplicación (el parche efectivo sólo existe para la versión Beta).
BitTorrent, la empresa que está detrás de uTorrent afirma que la última versión de la aplicación que se puede descargar, la que lleva por número el 3.5.3.44352, ya tiene el error corregido, algo que no comparte Tavis Ormandy (uno de los investigadores en Project Zero), que defiende en su cuenta de Twitter que el parche no funciona de forma correcta al menos en la versión web de la uTorrent.
También la versión web
Y es que no sólo la aplicación está afectada por el fallo de seguridad, pues la nueva versión web de uTorrent se han visto afectada, siendo esta la que ha sido más afectada por dicha amenaza según Ormandy. Esto se debe a que al atacante le basta con engañar al usuario para que acceda a una página web de forma que puede obtener la clave secreta de autenticación del servidor y así descargar _malware_ en el ordenador de la víctima.
De esta forma es aconsejable estar atentos a las actualizaciones disponibles que podemos encontrar en los días venideros dentro de la aplicación y mientras tanto tener en cuenta el riesgo al que podemos exponer nuestro equipo si usamos uTorrent para gestionar nuestras descargas.
Fuente | Torrentfreak
Ver 1 comentarios