www.svethardware.cz
>
>
>

Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5

Roblox není bezpečný: podporuje staré Androidy a hashuje pomocí MD5
, , aktualita
Roblox je oblíbenou platformou pro vytváření a hraní her. Podle CyberNews ale také nepříliš bezpečnou. Zjistily se zde totiž čtyři skupiny bezpečnostních chyb, které zahrnují např. ukládání citlivých dat pomocí dávno překonaných hashovacích funkcí.
K oblíbeným
reklama
V CyberNews se podívali na platformu Roblox, která je (z uživatelského hlediska) velmi populární zejména u dětí. S její pomocí bylo vytvořenou spoustu her (zpravidla mobilních) a právě mobilní verze platformy se stala předmětem výzkumu CyberNews. Konkrétně šlo o verzi aplikace 2.460.416177 a ve společnosti se docela divili, co vše našli. Aplikace dostala skóre Average CVSS jen 6,4 a MobSD Security Score dosáhlo jen na 10/100. Aplikace je tak hodnocena jako střední bezpečnostní riziko.
 
Roblox
 
A co je vše problémem a ohrožuje nejen osobní data uživatelů, tedy především dětí? Jedním z problémů je špatná konfigurace souboru manifestu (AndroidManifest.xml). Ten umožňuje nastavování práv aplikace, např. i to, k jakým datům jedné aplikace může přistupovat jiná. A bylo zde několik nastavení, která vzbuzovala obavy a která nechránila data tak, jak by měla (některá už byla v novějších verzích opravena). S tím souvisí i další problém. Roblox využívá lokální databázi SQLite, jejíž volání SQL dotazů bylo zranitelné na SQL Injection, navíc data zde uložená byla chráněna překonanými hashovacími metodami jako MD5 nebo o něco lepší SHA-1.
 
Zatímco mnoho uživatelů často "prská" nad tím, když výrobci omezí HW nebo SW jen na určité novější verze a vidí v tom jen a pouze honbu společností za penězi, protože je nutí k upgradu, důvody mohou být i jiné. Právě zpětná kompatibilita se staršími systémy je v tomto případě bezpečnostním problémem. Roblox totiž vytvořil svou aplikaci tak, že je kompatibilní až s Androidem 4.4. Jenže to také znamená, že je zde část uživatelů vystavena riziku zranitelnosti Janus spočívající v podpoře zranitelné metody Jar Signature Version 1 (tento problém umožňuje podvržení škodlivého kódu do digitálně podepsané aplikace). Novější a bezpečnější verze v2 a v3 jsou pak podporovány od Androidu 7.0. Podle CyberNews má verze 4.4 až 6.0 stále ještě 7,5 % uživatelů Androidu. Posledním problémem je používání nezašifrovaných API kódů. I to může vést ke krádeži dat nebo k manipulaci s nimi.
 


Ceny souvisejících / podobných produktů:


reklama
Nejnovější články
SteelSeries Rival 5: univerzální herní myš se spoustou tlačítek SteelSeries Rival 5: univerzální herní myš se spoustou tlačítek
Značka SteelSeries oznámila novou herní myš, která se chce zalíbit nejrůznějším typům hráčů. Přesností a rychlostí potěší milovníky FPS, velká nabídka tlačítek se zase hodí pro RPG. K dispozici jsou také voděodolné spínače.
Včera, aktualita, Jáchym Šlik
Lenovo představuje 360Hz herní monitor Legion Y25g-30 Lenovo představuje 360Hz herní monitor Legion Y25g-30
Další novinkou společnosti Lenovo je rychlý herní monitor Legion Y25g-30. Ten se může pochlubit opravdu velmi vysokou obnovovací frekvencí 360 Hz. Nebude mu chybět ani podpora technologie Nvidia G-Sync.
Včera, aktualita, Milan Šurkala
Nvidia uvedla mobilní GeForce RTX 3050 a RTX 3050 Ti Nvidia uvedla mobilní GeForce RTX 3050 a RTX 3050 Ti
Nvidia dnes uvedla nové grafické čipy GeForce RTX 3050 a RTX 3050 Ti. V tomto případě šlo o mobilní nasazení, takže můžeme očekávat TGP v rozmezí 35 W až 80 W. V případě modelu Ti se můžeme těšit na 2560 CUDA jader.
Včera, aktualita, Milan Šurkala
Intel oficiálně představuje nové osmijádrové Tiger Lake-H Intel oficiálně představuje nové osmijádrové Tiger Lake-H
Intel už dříve slíbil brzký nástup nových procesorů Tiger Lake-H s až osmi jádry, což dnes plní a oficiálně je uvádí na trh. Jde tak o první mobilní 10nm procesory s tolika fyzickými jádry a ty se uplatní v řadě nových PC. 
Včera, aktualita, Jan Vítek1 komentář
Konzole One Xplayer využije procesory Intel Tiger Lake Konzole One Xplayer využije procesory Intel Tiger Lake
Pokud jde o herní konzole využívající hardware x86, pak máme obvykle na mysli spíše něco od AMD. Nová One Xplayer je však založena na běžných mobilních procesorech Intel Tiger Lake s grafikou generace Xe. 
Včera, aktualita, Jan Vítek