Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5

2.5.2021, Milan Šurkala, aktualita
Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5
Roblox je oblíbenou platformou pro vytváření a hraní her. Podle CyberNews ale také nepříliš bezpečnou. Zjistily se zde totiž čtyři skupiny bezpečnostních chyb, které zahrnují např. ukládání citlivých dat pomocí dávno překonaných hashovacích funkcí.
V CyberNews se podívali na platformu Roblox, která je (z uživatelského hlediska) velmi populární zejména u dětí. S její pomocí bylo vytvořenou spoustu her (zpravidla mobilních) a právě mobilní verze platformy se stala předmětem výzkumu CyberNews. Konkrétně šlo o verzi aplikace 2.460.416177 a ve společnosti se docela divili, co vše našli. Aplikace dostala skóre Average CVSS jen 6,4 a MobSD Security Score dosáhlo jen na 10/100. Aplikace je tak hodnocena jako střední bezpečnostní riziko.
 
Roblox
 
A co je vše problémem a ohrožuje nejen osobní data uživatelů, tedy především dětí? Jedním z problémů je špatná konfigurace souboru manifestu (AndroidManifest.xml). Ten umožňuje nastavování práv aplikace, např. i to, k jakým datům jedné aplikace může přistupovat jiná. A bylo zde několik nastavení, která vzbuzovala obavy a která nechránila data tak, jak by měla (některá už byla v novějších verzích opravena). S tím souvisí i další problém. Roblox využívá lokální databázi SQLite, jejíž volání SQL dotazů bylo zranitelné na SQL Injection, navíc data zde uložená byla chráněna překonanými hashovacími metodami jako MD5 nebo o něco lepší SHA-1.
 
Zatímco mnoho uživatelů často "prská" nad tím, když výrobci omezí HW nebo SW jen na určité novější verze a vidí v tom jen a pouze honbu společností za penězi, protože je nutí k upgradu, důvody mohou být i jiné. Právě zpětná kompatibilita se staršími systémy je v tomto případě bezpečnostním problémem. Roblox totiž vytvořil svou aplikaci tak, že je kompatibilní až s Androidem 4.4. Jenže to také znamená, že je zde část uživatelů vystavena riziku zranitelnosti Janus spočívající v podpoře zranitelné metody Jar Signature Version 1 (tento problém umožňuje podvržení škodlivého kódu do digitálně podepsané aplikace). Novější a bezpečnější verze v2 a v3 jsou pak podporovány od Androidu 7.0. Podle CyberNews má verze 4.4 až 6.0 stále ještě 7,5 % uživatelů Androidu. Posledním problémem je používání nezašifrovaných API kódů. I to může vést ke krádeži dat nebo k manipulaci s nimi.