Quem usa clientes de torrent como o Transmission – um app popular para macOS, mas que só recentemente chegou ao Windows -, é melhor ter cuidado. Um pesquisador do Google encontrou uma grave falha de segurança no programa e em outros parecidos.
Tavis Ormandy, membro do Project Zero, um grupo do Google focado em descobrir falhas de segurança em apps e serviços, foi quem relatou a descoberta no fórum online da empresa para desenvolvedores de web apps, o Chromium.
A falha aproveita uma função do app Transmission que permite acesso remoto, pelo navegador, à lista de torrents do usuário que está em outro PC, desde que a pessoa não use senha. Usando uma técnica de desvio de DNS, um hacker pode ter acesso ilimitado à fila de downloads do usuário.
A partir daí, um invasor pode alterar os torrents que estão sendo baixados, trocar um filme por um vírus, por exemplo, ou desviar a rota do arquivo para que ele seja baixado em outro computador. Segundo Ormandy, um ataque usando essa falha é de fácil execução.
O pesquisador disse que informou a existência dessa falha aos administradores do app Transmission há 40 dias, incluindo uma sugestão de como consertá-la. Porém, os desenvolvedores não atualizaram o programa até agora.
Ormandy publicou o código do seu patch para quem quiser consertar o Transmission manualmente usando o código-fonte do programa. Ao Ars Technica, um dos desenvolvedores do app disse que uma correção oficial será liberada “o mais rapidamente possível”.
Ainda de acordo com Ormandy, a mesma falha pode ser encontrada em outros clientes de torrent. O pesquisador só não quis revelar, por enquanto, quais outros programas também estão vulneráveis.