Bericht: Roblox hat zahlreiche potenzielle Sicherheitsprobleme unter Android
Hat Roblox große Sicherheitslöcher? Es würde so aussehen. CyberNews sagt, dass es in Bezug auf die Sicherheit keine totale Katastrophe ist, aber seine Risiken könnten zu Schwachstellen werden, wenn sie nicht bald behoben werden.
CyberNews sagt, Roblox sollte sein Sicherheitsspiel verbessern
CyberNews hat die Ergebnisse seiner Untersuchung zur Sicherheit der Roblox-App für Android gemeldet.
Der Forschungspublikation zufolge wurden unter der Haube eine Reihe potenzieller Sicherheitsprobleme festgestellt, durch die die 199 Millionen Spieler von Roblox (von denen viele Kinder sind) einem Risiko für Datendiebstahl ausgesetzt sein könnten.
Um den Code der Roblox-App zu analysieren, verwendete CyberNews das Mobile Security Framework (MobSF). Hier sind einige der "größten Erkenntnisse" aus seinem Bericht.
Unterhalb der durchschnittlichen Sicherheitswerte
Nachdem MobSF eine statische Analyse einer App durchgeführt hat, gibt es zwei Bewertungen, die die Bewertung der App-Sicherheit darstellen: die durchschnittliche CVSS-Bewertung (Common Vulnerability Scoring System) und die MobSF-Sicherheitsbewertung.
CyberNews erklärt sie wie folgt:
Die durchschnittliche CVSS-Punktzahl ist die durchschnittliche Punktzahl aller in der App gefundenen Schwachstellen, wobei jede Schwachstelle ihre eigene CVSS-Punktzahl hat, je nachdem, wie schwerwiegend sie ist. Je niedriger der durchschnittliche CVSS-Wert ist, desto besser. Der MobSF Security Score ist das eigene Bewertungssystem des Frameworks, das bestimmt, welche der gescannten Elemente der App vom MobSF-Scanner als anfällig eingestuft wurden.
Roblox erhielt einen durchschnittlichen CVSS-Wert von 6,4 und einen MobSF-Sicherheitswert von 10/100.
Unsichere Datenspeicherung
Es ist nicht klug, vertrauliche Benutzerinformationen wie E-Mails und Kennwörter im Klartext zu speichern. Deshalb sollten Entwickler einen sicheren Hashing-Algorithmus verwenden, um sie zu schützen. Leider sieht es so aus, als ob Roblox "schwache Algorithmen" MD5 und SHA1 verwendet, um einige seiner Daten zu hashen.
Darüber hinaus werden schwach gehashte Daten lokal in einer SQLite-Datenbank gespeichert, die SQL-Rohabfragen ausführt, sodass sie für SQLi-Angriffe (SQL Injection) anfällig sind.
Ein fest codierter API-Schlüssel
Die Roblox-App verwendet einen API-Schlüssel, um auf Teile des Roblox-Netzwerks zuzugreifen. Dieser API-Schlüssel sollte nur für Entwickler zugänglich sein, wurde jedoch im Code der App im Klartext gefunden.
Mit diesem API-Schlüssel kann ein schlechter Akteur Spielerdaten (z. B. App-Anmeldeinformationen, persönliche Informationen usw.) stehlen, den Umgang der Roblox-App mit ihren Daten manipulieren oder API-Anforderungen der App ändern.
"Auch wenn dies nicht schwer zu beheben ist, ist das Potenzial, für eine solche alte Sicherheitsanfälligkeit anfällig zu sein, aus Sicherheitsgründen eher alarmierend", schreibt CyberNews.
Roblox 'Antwort auf den Bericht
CyberNews erfuhr von allen potenziellen Sicherheitsproblemen in der Android-App und gab an, das Roblox-Team kontaktiert zu haben, aber offenbar "monatelang" nicht auf Anrufe oder E-Mails reagiert zu haben.
TechRadar erhielt jedoch eine Antwort von einem Roblox-Sprecher, nachdem CyberNews seinen Bericht veröffentlicht hatte:
Wir nehmen alle Berichte ernst und untersuchen sie sofort, wenn der Forscher sie im März zum ersten Mal anspricht. Unsere Untersuchung ergab, dass kein Zusammenhang zwischen diesen Angaben und dem tatsächlichen Risiko für den Datenschutz der Nutzer besteht. Eine Behauptung war ungenau und die anderen drei betrafen inaktiven Code, der auf der Roblox-Plattform nicht verwendet wurde. Unabhängig davon haben wir den inaktiven Code im Rahmen unserer Verpflichtung zur Sicherheit und zum Schutz unserer Benutzer gelöscht.
CyberNews hat zugegeben, dass einige der genannten Probleme in den neuesten Versionen von Roblox behoben wurden, aber seine Forscher glauben immer noch, dass "die Bedrohung der Spielersicherheit sehr real ist".
Den vollständigen Bericht können Sie auf der CyberNews-Website selbst lesen .