Gra Fortnite z podatnościami na przejęcie konta

16-01-2019, 10:37

W grę Fortnite gra blisko 80 mln osób na całym świecie. Badacze Check Point odkryli podatności, które pozwoliłyby przestępcom przejąć konta graczy Fortnite, dane oraz wewnętrzną walutę gry, co mogłoby pozwolić na rozpoczęcie własnej “battle royale” przeciwko graczom.

Badacze firmy Check Point® Software Technologies Ltd. ogłosili dziś szczegóły podatności, które mogłyby dotknąć każdego gracza popularnej gry online, Fortnite.

W Fortnite gra prawie 80 milionów graczy na całym świecie, a sama gra jest popularna na wszystkich platformach, Android, iOS, Windows PC, a także na konsolach takich jak Xbox One czy PlayStation 4. Jest ona źródłem zainteresowania nie tylko wśród graczy-amatorów, ale także wśród profesjonalistów, którzy streamują swoje sesje online oraz entuzjastów e-sportów.

Podatność

Jak dotąd gracze Fortnite byli atakowani za pomocą fałszywych stron internetowych, obiecujących generowanie ‘V-Bucków’ (waluty obowiązującej w grze, ale ta podatność mogła zostać wykorzystana bez podania przez gracza danych logowania.

Badacze opisali proces, w którym atakujący mógł uzyskać dostęp do konta użytkownika poprzez wykorzystanie podatności w procesie logowania. Na skutek trzech defektów znalezionych w infrastrukturze sieciowej Epic Games, badacze byli w stanie zademonstrować proces uwierzytelniania oparty na tokenie w połączeniu z systemami Single-Sign-On (SSO) takimi jak Facebook, Google i Xbox, za pomocą którego było możliwe przechwycenie danych logowania i przejęcie konta użytkownika.

Gracz staje się ofiarą ataku, jeśli kliknie na spreparowany link phishingowy, dla uśpienia czujności pochodzący z domeny Epic Games, lecz wysłany przez atakującego. Po kliknięciu, token uwierzytelniający użytkownika mógł zostać przechwycony przez atakującego i to bez wpisywania danych logowania przez użytkownika.

Według badaczy firmy Check Point, ta podatność pochodziła z defektów znalezionych w dwóch subdomenach Epic Games. Były one podatne na złośliwe przekierowania, co pozwalało na przechwycenie tokenów uwierzytelniających.

Zagrożenie i naprawa

Jeżeli podatność zostałaby wykorzystana, dałaby ona atakującemu pełen dostęp do konta użytkownika, do jego danych osobistych, a także pozwoliłaby na zakup wirtualnej waluty obowiązującej w grze korzystając z karty płatniczej gracza. Podatność pozwoliłaby także na poważne naruszenie prywatności: przestępca mógłby podsłuchiwać rozmowy w grze oraz wszystkie dźwięki otoczenia w domu ofiary czy innej lokalizacji gry.

Oded Vanunu, szef działu badań podatności produktów firmy Check Point:

Platformy tego typu stają się coraz częstszym celem ataków, ponieważ przechowują ogromne ilości danych wrażliwych. Wymuszenie dwustopniowego uwierzytelniania mogłoby zapobiec podatnościom na przejęcie kont.

Check Point poinformowało Epic Games o podatności, która została już naprawiona. Check Point i Epic Games doradzają zachować czujność w każdej sytuacji wymieniania informacji cyfrowych i stosować się do dobrych praktyk dotyczących cyberbezpieczeństwa. Użytkownicy powinni również zawsze podawać w wątpliwość uczciwość linków, które są udostępniane na forach i stronach internetowych.

Jak nie stać się ofiarą ataku z wykorzystaniem takich podatności?

Użytkownicy powinni włączyć dwustopniowe uwierzytelnianie, które wymaga podania przez użytkownika kodu bezpieczeństwa wysyłanego na adres e-mail przy każdej próbie logowania z nowego urządzenia. Ważne również jest, żeby rodzice uświadamiali dzieci w kwestii niebezpieczeństw internetowych i ostrzegli je przed przestępcami, którzy zrobią wszystko w celu pozyskania danych osobowych i płatniczych, które mogą być przechowywane na koncie gracza.

Pełna analiza techniczna podatności dostępna jest na blogu Check Point.


  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031