Az online multiplayer játékok sincsenek biztonságban
Egy Szöulban tartott, multiplayer játékok biztonságával is foglalkozó konferencián hozott nyilvánosságra két sebezhetőséget a ReVuln. Az egyik hibát a Call of Duty: Modern Warfare 3-ban, a másikat pedig a több népszerű játék alapjául szolgáló CryEngine 3-ban találta a cég.
Az online multiplayer játékok biztonságára viszonylag kevés figyelem irányul, pedig a világszerte tízmilliók szórakozását biztosító szoftverek nem védtelenek - a Steam problémáinak feszegetésével már korábban is port kavaró ReVuln a koreai Power of Community (POC2012) konferencián két sebezhetőséget is prezentált, írja az amerikai Computerworld.
Az egyik sebezhetőséget a Call of Duty: Modern Warfare 3-ban találta a ReVuln két szakembere, Luigi Auriemma és Donato Ferrante. A játék tavaly novemberben jelent meg és minden eladási rekordot megdöntött, az első nap 9,3 millió példányt vásároltak belőle, a cím 16 nap után elérte az 1 milliárd dolláros összbevételt, ami szórakoztatóipari rekordnak számít. A másik sérülékenység a CryEngine 3-at érinti, ez a motor több játék alapjául is szolgál, ilyen például a Crysis PS3 és Xbox 360 verziója, a Crysis 2 és a Nexuiz, de számos további cím van fejlesztés alatt jelenleg.
A kettő közül az MW3 sebezhetősége kevésbé tűnik veszélyesnek, a kutatók a szöuli konferencián azt prezentálták, hogy a biztonsági rés hogy teszi lehetővé a multiplayer játékokat kiszolgáló szerverek megbénítását. A módszerről Auriemma és Ferrante nem hozott nyilvánosságra részleteket egyelőre, de jelezték, szívesen segítenek a Call of Duty sorozatot gondozó Activisionnek a probléma megoldásán. A sebezhetőséget azonban nem adják át "önkéntesen" a vállalatnak, mivel a biztonsági rések felderítése a ReVuln üzleti tevékenységének részét képezi - más szóval a kiadónak fizetnie kell.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A CryEngine 3 sérülékenysége első látásra ennél komolyabb: itt a ReVuln szakemberei bemutatták, hogyan tudnak a szerver sebezhetőségének kihasználásával távoli shellt nyitni a játékosok gépén. Auriemma demójában egy rakétán utazó macska képét jelenítette meg az online többjátékos módban működő Nexuiz képernyőjén, demonstrálva azt, hogy teljes hozzáférést szerzett a játékos gépéhez. "Ha hozzáférsz a szerverhez, ami lényegében a vállalathoz egyfajta interfész, hozzáférhetsz a rajta keresztül a játékosok összes adatához" - mondta Ferrante.
A biztonsági szakértő szerint az online játékok világában kevés figyelmet kap a biztonság, a teljesítményt, sebességet kezelik elsődleges prioritásként a cégek és a felhasználók is, a biztonsági intézkedések, például a titkosító algoritmusok pedig lelassíthatják egy játék futását. Ezt az áldozatot nem szívesen hozzák meg a fejlesztők és kiadók, a legtöbb sérülékenységet pedig teljesen figyelmen kívül hagyják.