Szerző: Bodnár Ádám

2012. november 12. 09:56:00

Az online multiplayer játékok sincsenek biztonságban

Egy Szöulban tartott, multiplayer játékok biztonságával is foglalkozó konferencián hozott nyilvánosságra két sebezhetőséget a ReVuln. Az egyik hibát a Call of Duty: Modern Warfare 3-ban, a másikat pedig a több népszerű játék alapjául szolgáló CryEngine 3-ban találta a cég.

Az online multiplayer játékok biztonságára viszonylag kevés figyelem irányul, pedig a világszerte tízmilliók szórakozását biztosító szoftverek nem védtelenek - a Steam problémáinak feszegetésével már korábban is port kavaró ReVuln a koreai Power of Community (POC2012) konferencián két sebezhetőséget is prezentált, írja az amerikai Computerworld.

Az egyik sebezhetőséget a Call of Duty: Modern Warfare 3-ban találta a ReVuln két szakembere, Luigi Auriemma és Donato Ferrante. A játék tavaly novemberben jelent meg és minden eladási rekordot megdöntött, az első nap 9,3 millió példányt vásároltak belőle, a cím 16 nap után elérte az 1 milliárd dolláros összbevételt, ami szórakoztatóipari rekordnak számít. A másik sérülékenység a CryEngine 3-at érinti, ez a motor több játék alapjául is szolgál, ilyen például a Crysis PS3 és Xbox 360 verziója, a Crysis 2 és a Nexuiz, de számos további cím van fejlesztés alatt jelenleg.

A kettő közül az MW3 sebezhetősége kevésbé tűnik veszélyesnek, a kutatók a szöuli konferencián azt prezentálták, hogy a biztonsági rés hogy teszi lehetővé a multiplayer játékokat kiszolgáló szerverek megbénítását. A módszerről Auriemma és Ferrante nem hozott nyilvánosságra részleteket egyelőre, de jelezték, szívesen segítenek a Call of Duty sorozatot gondozó Activisionnek a probléma megoldásán. A sebezhetőséget azonban nem adják át "önkéntesen" a vállalatnak, mivel a biztonsági rések felderítése a ReVuln üzleti tevékenységének részét képezi - más szóval a kiadónak fizetnie kell.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A CryEngine 3 sérülékenysége első látásra ennél komolyabb: itt a ReVuln szakemberei bemutatták, hogyan tudnak a szerver sebezhetőségének kihasználásával távoli shellt nyitni a játékosok gépén. Auriemma demójában egy rakétán utazó macska képét jelenítette meg az online többjátékos módban működő Nexuiz képernyőjén, demonstrálva azt, hogy teljes hozzáférést szerzett a játékos gépéhez. "Ha hozzáférsz a szerverhez, ami lényegében a vállalathoz egyfajta interfész, hozzáférhetsz a rajta keresztül a játékosok összes adatához" - mondta Ferrante.

A biztonsági szakértő szerint az online játékok világában kevés figyelmet kap a biztonság, a teljesítményt, sebességet kezelik elsődleges prioritásként a cégek és a felhasználók is, a biztonsági intézkedések, például a titkosító algoritmusok pedig lelassíthatják egy játék futását. Ezt az áldozatot nem szívesen hozzák meg a fejlesztők és kiadók, a legtöbb sérülékenységet pedig teljesen figyelmen kívül hagyják.

Az október 25-26-án rendezett eseményen közel ötven nemzetközi előadó is színpadra áll, 16 országból - a leggyorsabb jegyvásárlók pedig ESP32-alapú hacking badge-et is kapnak!

a címlapról