reklama
Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně
Aktuality
>
Grafiky a hry
>
Hry a technologie

Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5

2.5.2021, Milan Šurkala, aktualita
Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5
Roblox je oblíbenou platformou pro vytváření a hraní her. Podle CyberNews ale také nepříliš bezpečnou. Zjistily se zde totiž čtyři skupiny bezpečnostních chyb, které zahrnují např. ukládání citlivých dat pomocí dávno překonaných hashovacích funkcí.
V CyberNews se podívali na platformu Roblox, která je (z uživatelského hlediska) velmi populární zejména u dětí. S její pomocí bylo vytvořenou spoustu her (zpravidla mobilních) a právě mobilní verze platformy se stala předmětem výzkumu CyberNews. Konkrétně šlo o verzi aplikace 2.460.416177 a ve společnosti se docela divili, co vše našli. Aplikace dostala skóre Average CVSS jen 6,4 a MobSD Security Score dosáhlo jen na 10/100. Aplikace je tak hodnocena jako střední bezpečnostní riziko.
 
Roblox
 
A co je vše problémem a ohrožuje nejen osobní data uživatelů, tedy především dětí? Jedním z problémů je špatná konfigurace souboru manifestu (AndroidManifest.xml). Ten umožňuje nastavování práv aplikace, např. i to, k jakým datům jedné aplikace může přistupovat jiná. A bylo zde několik nastavení, která vzbuzovala obavy a která nechránila data tak, jak by měla (některá už byla v novějších verzích opravena). S tím souvisí i další problém. Roblox využívá lokální databázi SQLite, jejíž volání SQL dotazů bylo zranitelné na SQL Injection, navíc data zde uložená byla chráněna překonanými hashovacími metodami jako MD5 nebo o něco lepší SHA-1.
 
Zatímco mnoho uživatelů často "prská" nad tím, když výrobci omezí HW nebo SW jen na určité novější verze a vidí v tom jen a pouze honbu společností za penězi, protože je nutí k upgradu, důvody mohou být i jiné. Právě zpětná kompatibilita se staršími systémy je v tomto případě bezpečnostním problémem. Roblox totiž vytvořil svou aplikaci tak, že je kompatibilní až s Androidem 4.4. Jenže to také znamená, že je zde část uživatelů vystavena riziku zranitelnosti Janus spočívající v podpoře zranitelné metody Jar Signature Version 1 (tento problém umožňuje podvržení škodlivého kódu do digitálně podepsané aplikace). Novější a bezpečnější verze v2 a v3 jsou pak podporovány od Androidu 7.0. Podle CyberNews má verze 4.4 až 6.0 stále ještě 7,5 % uživatelů Androidu. Posledním problémem je používání nezašifrovaných API kódů. I to může vést ke krádeži dat nebo k manipulaci s nimi.
 


Autor: Milan Šurkala
Vystudoval doktorský program v oboru informatiky a programování se zaměřením na počítačovou grafiku. Nepřehlédněte jeho seriál Fotíme s Koalou o základech fotografování.
Diskuze (0)|Další z rubriky:
NVIDIA RTX Remix: nástroj pro vylepšení grafiky starých her
NVIDIA RTX Remix: nástroj pro vylepšení grafiky starých her
24.4.2024, Karel Polívka4
AMD Radeon RX 8000 prý bude výhradně jen s pomalejšími GDDR6 na 18 Gbps
AMD Radeon RX 8000 prý bude výhradně jen s pomalejšími GDDR6 na 18 Gbps
23.4.2024, Milan Šurkala15
Nové ovladače 5444 pro Intel ARC přináší až o 48 % více výkonu pro iGPU
Nové ovladače 5444 pro Intel ARC přináší až o 48 % více výkonu pro iGPU
22.4.2024, Milan Šurkala2
Nvidia RTX A400 a A1000 pro RT rendering i AI mají jen 50W spotřebu
Nvidia RTX A400 a A1000 pro RT rendering i AI mají jen 50W spotřebu
17.4.2024, Milan Šurkala
Doporučujeme z našich magazínů
Doporučené telefony na focení: březen 2024
Doporučené telefony na focení: březen 2024
28.3.2024, článek, Milan Šurkala
Doporučené fotoaparáty: březen 2024
Doporučené fotoaparáty: březen 2024
26.3.2024, článek, Milan Šurkala
reklama
Nejnovější články
CATL uvedl Li-Ion LFP baterii Shenxing Plus s hustotou 205 Wh/kg a 1000km dojezdem
CATL uvedl Li-Ion LFP baterii Shenxing Plus s hustotou 205 Wh/kg a 1000km dojezdem
Dnes, Milan Šurkala
Inženýrské vzorky AMD Ryzen Strix Point překvapují MT výkonem i při nízkých taktech
Inženýrské vzorky AMD Ryzen Strix Point překvapují MT výkonem i při nízkých taktech
Dnes, Milan Šurkala
Snapdragon X Elite je záhadou, výkon 50 % slibů i podobný s M3 Pro, spotřeba se blíží 100 W
Snapdragon X Elite je záhadou, výkon 50 % slibů i podobný s M3 Pro, spotřeba se blíží 100 W
Dnes, Milan Šurkala4
Levná televize Redmi TV A65 aneb 65" po přepočtu jen za 8300 Kč
Levná televize Redmi TV A65 aneb 65" po přepočtu jen za 8300 Kč
Dnes, Milan Šurkala, TV Freak