Scoperta vulnerabilità su Ruzzle che permette di violare gli account degli utenti

Ci troviamo ancora nel pieno della febbre da Ruzzle, il celeberrimo gioco realizzato dalla casa produttrice Mag Interactive, che ha catturato l'attenzione di milioni di utenti in tutto il mondo, e che proprio nelle scorse ore ha annunciato il prossimo approdo in Windows Phone. La notizia che però potrebbe far storcere il naso ai giocatori del noto paroliere, è che il software presentava fino al rilascio dell'ultimo aggiornamento forzato, una falla nel sistema che consentiva di mettere in serio pericolo la privacy dei giocatori.

La vulnerabilità scoperta da informatici italiani


La vulnerabilità in questione è stata messa in luce da un gruppo di informatici italiani, la quale dopo un'attenta analisi del codice, avrebbe scoperto alcuni bachi. Il team di Hactive Security, ha giustamente avvisato per tempo la casa produttrice del gioco, prima di diffondere pubblicamente le proprie ricerche. La falla avrebbe potuto permettere ad un estraneo, di ottenere i privilegi necessari per impersonare un qualsiasi utente di Ruzzle.

Il comunicato di Hactive Security


Ecco cosa si legge dal comunicato diffuso dall'azienda di informatici italiani:
“Scopo della nostra ricerca era di ottenere accesso con un utente diverso (che chiameremo "vittima")senza autenticazione ed eseguire azioni con l'identità della vittima. Il protocollo dell'applicazione Ruzzle implementa una funzione di chat che gli utenti possono utilizzare per scambiare messaggi con gli amici con cui si stanno sfidando. I risultati dei nostri test hanno mostrato che un utente malintenzionato può ottenere il pieno controllo dell'account della vittima, potendo accedere all'intera lista delle partite giocate e di quelle attuali, sfidare gli amici della vittima e -  cosa ben più grave - avere accesso ai messaggi privati scambiati con altri utenti attraverso la funzione interna di chat e la possibilità di chattare con altri utenti impersonando la vittima.

Aggiornamento forzato e risoluzione della falla


Nonostante l'aggiornamento fosse di una certa importanza, i creatori hanno preferito dare la precedenza ad altri update, prima di rilasciare la release 1.4.8 che permette finalmente di risolvere il bug di cui vi stiamo parlando, versione rilasciata solo poco tempo fa.

Via mytech.panorama.it

  • shares
  • Mail