Come violare la sicurezza di Ruzzle

Come violare la sicurezza di Ruzzle

Un gruppo di esperti di sicurezza italiano ha scoperto una vulnerabilità nel popolarissimo paroliere, già risolta da Mag Interactive.

di Rosario Grasso pubblicata il , alle 12:01 nel canale Videogames
 

Hacktive Security è un'azienda di consulenza indipendente che fornisce servizi nel settore ICT. A partire dal mese di gennaio, come si può leggere in questo blog, il gruppo di esperti di sicurezza italiano ha iniziato un progetto incentrato su alcune delle applicazioni più diffuse per smartphone e, tra queste, anche Ruzzle, il paroliere più famoso della rete e ormai diffuso a macchia d'olio presso il pubblico videoludico italiano.

Ruzzle

Il gruppo con sede a Pomigliano d'Arco ha individuato un problema di violazione della privacy in Ruzzle, che potrebbe consentire a un esperto di abusare del protocollo utilizzato dal programma, ottenere maggiori privilegi ed impersonare un determinato utente. Hacktive Security, appena scoperta la vulnerabilità, ha subito avvisato lo sviluppatore svedese di Ruzzle, Mag Interactive, che ha adesso rilasciato un aggiornamento obbligatorio, che porta il software alla versione 1.4.8, volto a porre rimedio alla vulnerabilità.

Abbiamo contattato Hacktive Security per avere delucidazioni sulla faccenda. "Al momento la problematica descritta non è replicabile poiché Mag Interactive ha apportato delle modifiche mirate alla risoluzione del problema. Negli ultimi due mesi Hacktive Security ha aiutato la società che sviluppa Ruzzle affinchè la vulnerabilità venisse risolta", ci ha risposto Carlo Pelliccioni di Hacktive Security.

Il team esperto di sicurezza informatica si è accorto che ogni risposta json può essere manomessa senza che ci sia un ulteriore controllo lato server sui dati che client e server si scambiano. Questo tipo di debolezza può essere sfruttato per ottenere maggiori privilegi e per impossessarsi di un'identità di un altro utente all'interno di una sessione autenticata.

"I risultati dei nostri test hanno mostrato che un utente malintenzionato può ottenere il pieno controllo dell'account della vittima, potendo accedere all'intera lista delle partite giocate e di quelle attuali, sfidare gli amici della vittima e - cosa ben più grave - avere accesso ai messaggi privati scambiati con altri utenti attraverso la funzione interna di chat e la possibilità di chattare con altri utenti impersonando la vittima", si legge nel blog già citato.

In quest'ultimo si trova una dimostrazione pratica del problema, che viene descritto nei minimi particolari. All'apertura dell'app su un dispositivo mobile l'applicazione esegue la procedura di accesso attraverso una richiesta nel classico metodo HTTP POST:

Hacktive Security

Il POST che si può vedere nell'immagine corrisponde alla richiesta originata dal client (in questo caso la procedura di login viene fatta attraverso l'autenticazione via Facebook). Per eseguire la violazione, secondo i tecnici di Hacktive Security, è a questo punto sufficiente intercettare e manomettere la risposta json a tale richiesta. La modifica del valore del parametro userId è infatti il primo passo per ottenere il pieno controllo dell'account della vittima.

Hacktive Security

A questo punto si procede manomettendo il valore userID con quello assegnato alla vittima. Dopo questo passaggio, bisogna poi manomettere altri parametri all'interno del refreshCache POST. Sul blog ci sono tutti i dettagli su questa operazione.

"A questo punto il client di Ruzzle sul dispositivo mobile mostra l'account della vittima, compresa la cronologia completa delle partite svolte e le pagine con i messaggi privati scambiati", si conclude sul blog.

Hacktive Security

Insomma, Hacktive Security ci ha fatto capire come sia possibile violare la sicurezza di un'app popolare come Ruzzle. Ma, come detto, il problema dovrebbe essere rientrato perché Mag Interactive ha rilasciato l'aggiornamento che pone rimedio alla vulnerabilità. Ma se è vero che è stata scoperta a gennaio, certo di tempo gli sviluppatori svedesi ce ne hanno messo...

26 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
al13525 Marzo 2013, 12:27 #1
ma ancora ci gioca la gente?
imho un qualsiasi essere intelligente si scassa le palle dopo 5 minuti quando si rende conto che non serve essere dotti per vincere
e soprattutto... STICAZZI?
Dave8325 Marzo 2013, 12:33 #2
GIà, provato, visto che ti accetta anche parole che non esistono, abbandonato
Hulk910325 Marzo 2013, 13:25 #3
Più è stupido e più spopola
al13525 Marzo 2013, 13:28 #4
Originariamente inviato da: Hulk9103
Più è stupido e più spopola


hahahah epic comment of the year
PhoEniX-VooDoo25 Marzo 2013, 13:48 #5
Originariamente inviato da: Hulk9103
Più è stupido e più spopola


tutti quelli che hanno capito questa cosa e sono riusciti ad impacchettarla in un prodotto ora sono straricchi
Hulk910325 Marzo 2013, 13:58 #6
Originariamente inviato da: PhoEniX-VooDoo
tutti quelli che hanno capito questa cosa e sono riusciti ad impacchettarla in un prodotto ora sono straricchi


Mi rincuora che non sono tutti in Italia (i stupidi), mi spezza il cuore sapere che una buona fetta di popolazione (mondiale) è veramente NO-BRAIN...

Che poi trovare le parole li in mezzo cioè mi sà proprio da CRETINI, ma non è meglio aprire il vocabolario e trovare le parole li dentro???

E' più serio Fruit Ninja o Angry Birds o Cut the rope, almeno ti diverti...
al13525 Marzo 2013, 14:00 #7
mi fa piacere che almeno la popolazione di hwupgrade rifiuta questa schifezza, saremo pure incazzosi a volte ma almeno il cervello lo usiamo (sembra) un po' piu di tanti altri
ziozetti25 Marzo 2013, 14:42 #8
Il gioco altro non è che la trasposizione elettronica del vecchio "Il paroliere", venduto in Italia da Editrice Giochi con un goccio di salsa social.

E' un passatempo come tanti altri, non capisco il perché di tutto questo odio: forse non riuscite a fare più di 200 punti a partita?
deggial25 Marzo 2013, 14:51 #9
Originariamente inviato da: ziozetti
Il gioco altro non è che la trasposizione elettronica del vecchio "Il paroliere", venduto in Italia da Editrice Giochi con un goccio di salsa social.

E' un passatempo come tanti altri, non capisco il perché di tutto questo odio: forse non riuscite a fare più di 200 punti a partita?


quoto
Io proprio adesso sto perdendo una partita con mia moglie
ma non vale... lei è a casa tranquilla, io sto giocando mentre sono distratto dal lavoro (che brutta cosa il lavoro!).
al13525 Marzo 2013, 14:55 #10
Originariamente inviato da: ziozetti
Il gioco altro non è che la trasposizione elettronica del vecchio "Il paroliere", venduto in Italia da Editrice Giochi con un goccio di salsa social.

E' un passatempo come tanti altri, non capisco il perché di tutto questo odio: forse non riuscite a fare più di 200 punti a partita?


eh no, non è un paroliere perché contano anche parole insensate e inesistenti e per di più pieno di gente che imbroglia.
fosse stato un paroliere vero allora sarebbe stato diverso

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^