Se você é daqueles que ainda mantém o hábito de baixar arquivos em sites de torrent, cuidado. Uma vulnerabilidade foi descoberta em aplicativos como o Transmission, amplamente utilizado para esse tipo de download em Macs e no Linux, e que recentemente foi lançado para Windows. A falha permite que sites executem código malicioso em computadores dos usuários, de acordo com um pesquisador da equipe ProjectZero do Google.

Não apenas o Transmission, mas outros clientes provavelmente são suscetíveis. O pesquisador Tavis Ormandy publicou o código usado para explorar a falha na semana passada, juntamente com uma descrição detalhada da vulnerabilidade.

Essa vulnerabilidade se encontra em uma função do Transmission e permite a um atacante o acesso remoto à lista de torrents da vítima que está em outro PC. Usando uma técnica de desvio de DNS, o invasor pode ter acesso ilimitado à fila de downloads do usuário, se a pessoa não usar uma senha

A partir daí, o invasor pode alterar os arquivos que estão sendo baixados. Isso significa que é possível que alguém troque o filme que você está baixando por um vírus , por exemplo. Segundo Ormandy, um ataque usando essa falha é de fácil execução.

Normalmente, o ProjectZero retém a publicação desses detalhes por 90 dias ou até que o desenvolvedor tenha liberado uma correção, mas o relatório dele para o Transmission também incluiu um patch que corrige completamente a vulnerabilidade, e os desenvolvedores ainda não o aplicaram.

Por isso, ele resolveu divulgar a vulnerabilidade 40 dias após o relatório inicial, e disse que a publicação permitiria que o Ubuntu - distribuição Linux que adota o Transmission - e outros projetos instalem a correção por conta própria em seus respectivos diretórios, já que o cliente tem código aberto.

Ormandy manifestou sua decepção com os desenvolvedores do aplicativo que não se apressaram para aplicar a correção.

Estou achando frustrante que os desenvolvedores do Transmission não estão respondendo em sua lista de segurança privada. Eu sugeri abrir para que as distribuições possam aplicar o patch de forma independente.

Um funcionário do Transmission disse ao site ArsTechnica que uma correção oficial deve ser divulgada o quanto antes, mas não foi específico. Ele disse que a vulnerabilidade estava presente apenas quando os usuários habilitam acesso remoto e proteção de senha está desativada.