Diverse falle di sicurezza scoperte da tecnici italiani, informazioni personali a rischio dirottamento
Avete presente le applicazioni per smartphone e tablet che utilizzate di più? Giochi e passatempi con i quali ingannate le attese in metro o tra una pausa e l’altra? Bene, esiste una piccola società italiana, chiamata Hacktive Security che lavora ogni giorno per scoprire quali di queste app sono violabili e, in teoria, vulnerabili ad attacchi hacker. Fa scalpore la notizia di qualche ora fa, quando il team attraverso il suo blog ha spiegato come anche il gioco più in voga degli ultimi mesi, Ruzzle (da poco partito in versione Campionato Nazionale), sia caduto vittima di gravi problemi di sicurezza.
Il caso
“Quando il nostro team ha cominciato a studiare Ruzzle a gennaio del 2013, abbiamo scoperto che il protocollo dietro l’app lavora con un parametro modificabile che può essere manomesso arbitrariamente senza alcun controllo dal lato server” – si legge sul blog. In pratica chiunque, pratico del sistema, avesse voluto intercettare i dati dei giocatori, avrebbe potuto farlo manomettendo la risposta Json inviata dall’app. Il formato Json è utilizzato per lo scambio dati di applicazioni, soprattutto del panorama mobile, basato sul linguaggio JavaScript dal quale però è indipendente. Questo tipo di debolezza è ampiamente utilizzata nel contesto di applicazioni web per ottenere privilegi, rubare le identità per eseguire azioni senza autenticazione.
Problema già risolto
In realtà il team di Ruzzle aveva tappato la falla con l’ultima versione dell’applicazione, la 1.4.8, un aggiornamento obbligatorio per porre rimedio alla vulnerabilità. Il problema è che qualche hacker avrebbe potuto sfruttare il bug già da qualche mese e agire sulla piattaforma sotto mentite spoglie dell’inconsapevole vittima. I danni “causabili” non sono paragonabili a quelli derivanti da un controllo totale del dispositivo e conseguente violazione di messaggi di testo, rubrica o email, tuttavia sapere che un estraneo avrebbe potuto leggere la nostra lista di amici, le partite giocate, classifiche e messaggi di chat con gli altri giocatori non fa di certo piacere.
