Transmission es uno de los mejores clientes BitTorrent utilizado para descargar archivos de la red torrent. Este cliente es una excelente alternativa a uTorrent totalmente gratuito, de código abierto y completamente libre de publicidad, además de ser superior tanto en rendimiento y bajo consumo de recursos como en seguridad. Sin embargo, no existe ningún software perfecto, y tarde o temprano acaba apareciendo algún fallo de seguridad que pone en peligro a los usuarios, como acaba de ocurrir con el cliente de descargas Transmission.
Hace algunas horas se daba a conocer un nuevo fallo de seguridad en el cliente BitTorrent Transmission, fallo que puede permitir a un pirata informático ejecutar código en el ordenador de la víctima y poder tomar así, con relativa facilidad, el control sobre el sistema afectado.
Este fallo de seguridad ha sido descubierto por los investigadores de Google Project Zero. Normalmente estos investigadores de seguridad suelen ofrecer un plazo de 90 días para que los desarrolladores puedan investigar el fallo y lanzar un parche de seguridad antes de hacer pública la vulnerabilidad. Sin embargo, otra vez, los investigadores de seguridad de Google han vuelto a poner en peligro a miles de usuarios de este cliente de descargas, actuando, de nuevo, con prepotencia, haciendo pública la vulnerabilidad con tan solo 50 días, y sin dar tiempo a los responsables de Transmission a lanzar una actualización de su cliente de descargas.
El fallo de seguridad se puede explotar con relativa facilidad de forma remota simplemente haciendo que un usuario visite una página web. Debido a que normalmente para descargar un archivo de la red torrent es necesario visitar páginas web (webs, normalmente, plagadas de publicidad), es muy fácil que en los próximos días, en cuanto los piratas informáticos consigan entender el funcionamiento de la vulnerabilidad, podamos empezar a ponernos en peligro con solo visitar una web teniendo Transmission en ejecución.First of a few remote code execution flaws in various popular torrent clients, here is a DNS rebinding vulnerability Transmission, resulting in arbitrary remote code execution. https://t.co/kAv9eWfXlG— Tavis Ormandy (@taviso) January 11, 2018
El investigador de seguridad que ha dado con este fallo de seguridad asegura que Transmission es solo uno de varios clientes de descargas torrent afectados por el fallo de seguridad. Eso sí, por motivos de seguridad, este investigador asegura que no va a facilitar el nombre de los otros clientes de descargas, al menos hasta que se cumplan los 90 días de margen que suele dar este departamento de seguridad.
Cómo protegernos de esta vulnerabilidad en Transmission (y demás clientes torrent)
Como todos los fallos de seguridad, para protegernos de este lo necesario es actualizar nuestro cliente torrent a la última versión. Sin embargo, en el caso de Transmission, no existe ninguna actualización disponible que corrija esta vulnerabilidad, y no solo eso, sino que los responsables del desarrollo de este cliente de descargas OpenSource no están respondiendo a los correos de Google Project Zero respecto a la vulnerabilidad.
Mientras llega la actualización de esta vulnerabilidad recomendamos utilizar otros clientes de descarga alternativos, como qBittorrent, que nos permita seguir descargando archivos de forma segura (aunque puede que este también sea uno de los clientes vulnerables) hasta que se lancen los correspondientes parches de seguridad, tanto para Transmission como para los demás clientes BitTorrent afectados por este fallo.
