Roblox je oblíbenou platformou pro vytváření a hraní her. Podle CyberNews ale také nepříliš bezpečnou. Zjistily se zde totiž čtyři skupiny bezpečnostních chyb, které zahrnují např. ukládání citlivých dat pomocí dávno překonaných hashovacích funkcí.
Co je RTX AI
Web Světhardware.cz přináší velký přehled o NVIDIA RTX AI ve vašem počítači a popisuje spolehlivou a bezpečnou cestu, jak si na svém počítači vytvořit lokální umělou inteligenci.
V CyberNews se podívali na platformu Roblox, která je (z uživatelského hlediska) velmi populární zejména u dětí. S její pomocí bylo vytvořenou spoustu her (zpravidla mobilních) a právě mobilní verze platformy se stala předmětem výzkumu CyberNews. Konkrétně šlo o verzi aplikace 2.460.416177 a ve společnosti se docela divili, co vše našli. Aplikace dostala skóre Average CVSS jen 6,4 a MobSD Security Score dosáhlo jen na 10/100. Aplikace je tak hodnocena jako střední bezpečnostní riziko.
A co je vše problémem a ohrožuje nejen osobní data uživatelů, tedy především dětí? Jedním z problémů je špatná konfigurace souboru manifestu (AndroidManifest.xml). Ten umožňuje nastavování práv aplikace, např. i to, k jakým datům jedné aplikace může přistupovat jiná. A bylo zde několik nastavení, která vzbuzovala obavy a která nechránila data tak, jak by měla (některá už byla v novějších verzích opravena). S tím souvisí i další problém. Roblox využívá lokální databázi SQLite, jejíž volání SQL dotazů bylo zranitelné na SQL Injection, navíc data zde uložená byla chráněna překonanými hashovacími metodami jako MD5 nebo o něco lepší SHA-1.
Zatímco mnoho uživatelů často "prská" nad tím, když výrobci omezí HW nebo SW jen na určité novější verze a vidí v tom jen a pouze honbu společností za penězi, protože je nutí k upgradu, důvody mohou být i jiné. Právě zpětná kompatibilita se staršími systémy je v tomto případě bezpečnostním problémem. Roblox totiž vytvořil svou aplikaci tak, že je kompatibilní až s Androidem 4.4. Jenže to také znamená, že je zde část uživatelů vystavena riziku zranitelnosti Janus spočívající v podpoře zranitelné metody Jar Signature Version 1 (tento problém umožňuje podvržení škodlivého kódu do digitálně podepsané aplikace). Novější a bezpečnější verze v2 a v3 jsou pak podporovány od Androidu 7.0. Podle CyberNews má verze 4.4 až 6.0 stále ještě 7,5 % uživatelů Androidu. Posledním problémem je používání nezašifrovaných API kódů. I to může vést ke krádeži dat nebo k manipulaci s nimi.
