Hacktive Security è un'azienda di consulenza indipendente che fornisce servizi nel settore ICT. A partire dal mese di gennaio, come si può leggere in questo blog, il gruppo di esperti di sicurezza italiano ha iniziato un progetto incentrato su alcune delle applicazioni più diffuse per smartphone e, tra queste, anche Ruzzle, il paroliere più famoso della rete e ormai diffuso a macchia d'olio presso il pubblico videoludico italiano.
Il gruppo con sede a Pomigliano d'Arco ha individuato un problema di violazione della privacy in Ruzzle, che potrebbe consentire a un esperto di abusare del protocollo utilizzato dal programma, ottenere maggiori privilegi ed impersonare un determinato utente. Hacktive Security, appena scoperta la vulnerabilità, ha subito avvisato lo sviluppatore svedese di Ruzzle, Mag Interactive, che ha adesso rilasciato un aggiornamento obbligatorio, che porta il software alla versione 1.4.8, volto a porre rimedio alla vulnerabilità.
Abbiamo contattato Hacktive Security per avere delucidazioni sulla faccenda. "Al momento la problematica descritta non è replicabile poiché Mag Interactive ha apportato delle modifiche mirate alla risoluzione del problema. Negli ultimi due mesi Hacktive Security ha aiutato la società che sviluppa Ruzzle affinchè la vulnerabilità venisse risolta", ci ha risposto Carlo Pelliccioni di Hacktive Security.
Il team esperto di sicurezza informatica si è accorto che ogni risposta json può essere manomessa senza che ci sia un ulteriore controllo lato server sui dati che client e server si scambiano. Questo tipo di debolezza può essere sfruttato per ottenere maggiori privilegi e per impossessarsi di un'identità di un altro utente all'interno di una sessione autenticata.
"I risultati dei nostri test hanno mostrato che un utente malintenzionato può ottenere il pieno controllo dell'account della vittima, potendo accedere all'intera lista delle partite giocate e di quelle attuali, sfidare gli amici della vittima e - cosa ben più grave - avere accesso ai messaggi privati scambiati con altri utenti attraverso la funzione interna di chat e la possibilità di chattare con altri utenti impersonando la vittima", si legge nel blog già citato.
In quest'ultimo si trova una dimostrazione pratica del problema, che viene descritto nei minimi particolari. All'apertura dell'app su un dispositivo mobile l'applicazione esegue la procedura di accesso attraverso una richiesta nel classico metodo HTTP POST:
Il POST che si può vedere nell'immagine corrisponde alla richiesta originata dal client (in questo caso la procedura di login viene fatta attraverso l'autenticazione via Facebook). Per eseguire la violazione, secondo i tecnici di Hacktive Security, è a questo punto sufficiente intercettare e manomettere la risposta json a tale richiesta. La modifica del valore del parametro userId è infatti il primo passo per ottenere il pieno controllo dell'account della vittima.
A questo punto si procede manomettendo il valore userID con quello assegnato alla vittima. Dopo questo passaggio, bisogna poi manomettere altri parametri all'interno del refreshCache POST. Sul blog ci sono tutti i dettagli su questa operazione.
"A questo punto il client di Ruzzle sul dispositivo mobile mostra l'account della vittima, compresa la cronologia completa delle partite svolte e le pagine con i messaggi privati scambiati", si conclude sul blog.
Insomma, Hacktive Security ci ha fatto capire come sia possibile violare la sicurezza di un'app popolare come Ruzzle. Ma, come detto, il problema dovrebbe essere rientrato perché Mag Interactive ha rilasciato l'aggiornamento che pone rimedio alla vulnerabilità. Ma se è vero che è stata scoperta a gennaio, certo di tempo gli sviluppatori svedesi ce ne hanno messo...
Anda sedang membaca artikel tentang
Come violare la sicurezza di Ruzzle
Dengan url
http://gadgetekno.blogspot.com/2013/03/come-violare-la-sicurezza-di-ruzzle.html
Anda boleh menyebar luaskannya atau mengcopy paste-nya
Come violare la sicurezza di Ruzzle
namun jangan lupa untuk meletakkan link
Come violare la sicurezza di Ruzzle
sebagai sumbernya
0 komentar:
Posting Komentar