Отчет: у Roblox есть множество потенциальных проблем с безопасностью на Android
Есть ли у Roblox большие дыры в безопасности? Так могло показаться. CyberNews заявляет, что это не полная катастрофа с точки зрения безопасности, но ее риски могут превратиться в уязвимости, если в ближайшее время не будут приняты меры.
CyberNews говорит, что Roblox должен “ улучшить свою безопасность ''
CyberNews сообщила о результатах расследования безопасности приложения Roblox для Android.
В исследовательской публикации говорится, что он обнаружил ряд потенциальных проблем безопасности под капотом, из-за которых 199 миллионов игроков Roblox (многие из которых – дети) могут оказаться под угрозой кражи данных.
Для анализа кода приложения Roblox CyberNews использовала Mobile Security Framework (MobSF), и вот некоторые из «самых важных выводов» из его отчета.
Показатели безопасности ниже среднего
После того, как MobSF выполняет статический анализ приложения, он дает два балла, отражающие его оценку безопасности приложения: средний балл CVSS (Common Vulnerability Scoring System) и рейтинг безопасности MobSF.
CyberNews объясняет их следующим образом:
Средняя оценка CVSS – это средняя оценка всех уязвимостей, обнаруженных в приложении, при этом каждая уязвимость имеет свой собственный рейтинг CVSS в зависимости от того, насколько она серьезна. Чем ниже средний балл по CVSS, тем лучше. Оценка безопасности MobSF – это собственная система оценки фреймворка, которая определяет, какие из отсканированных элементов приложения были сочтены сканером MobSF уязвимыми.
Roblox получил средний балл по CVSS 6,4 и рейтинг безопасности MobSF 10/100.
Небезопасное хранение данных
Неразумно хранить конфиденциальную информацию о пользователях, такую как электронные письма и пароли, в виде обычного текста, поэтому разработчики должны использовать безопасный алгоритм хеширования для их защиты. К сожалению, похоже, что Roblox использует «слабые алгоритмы» MD5 и SHA1 для хеширования некоторых своих данных.
Более того, эти слабо хешированные данные хранятся локально в базе данных SQLite, которая выполняет необработанные SQL-запросы, что делает их уязвимыми для атак SQL Injection (SQLi).
Жестко запрограммированный ключ API
Приложение Roblox использует ключ API для доступа к частям сети Roblox. Этот ключ API должен быть доступен только разработчикам, но он был найден в виде обычного текста в коде приложения.
С помощью этого ключа API злоумышленник может украсть данные игрока (например, учетные данные приложения, личную информацию и т. Д.), Вмешаться в то, как приложение Roblox обрабатывает свои данные, или изменить запросы API, сделанные приложением.
«Несмотря на то, что это нетрудно исправить, явный потенциал подверженности такой древней уязвимости довольно тревожит с точки зрения безопасности», – пишет CyberNews.
Ответ Roblox на отчет
Узнав обо всех потенциальных проблемах безопасности, обнаруженных в приложении для Android, CyberNews сообщает, что обратился к команде Roblox, но они, по-видимому, не отвечали на звонки или электронные письма «в течение нескольких месяцев».
Однако TechRadar получил ответ от представителя Roblox после того, как CyberNews опубликовала свой отчет:
Мы серьезно относимся ко всем сообщениям и сразу же приступаем к расследованию при первом обращении исследователя в марте. Наше расследование показало, что между этими утверждениями и реальным риском для конфиденциальности данных пользователей нет никакой связи. Одно утверждение было неточным, а три других относились к неактивному коду, не используемому на платформе Roblox. Несмотря на это, мы удалили неактивный код в рамках наших обязательств по обеспечению безопасности наших пользователей.
CyberNews признала, что некоторые из упомянутых проблем были исправлены в последних версиях Roblox, но его исследователи по-прежнему считают, что «угроза безопасности игроков вполне реальна».
Вы можете прочитать полный отчет на сайте CyberNews .