Informe: Roblox tiene numerosos problemas de seguridad potenciales en Android
¿Roblox tiene grandes agujeros en su seguridad? Parecería así. CyberNews dice que no es un desastre total desde el punto de vista de la seguridad, pero sus riesgos podrían convertirse en vulnerabilidades si no se solucionan pronto.
CyberNews dice que Roblox debería 'mejorar su juego de seguridad'
CyberNews ha informado los hallazgos de su investigación sobre la seguridad de la aplicación Roblox para Android.
La publicación de investigación dice que ha encontrado una serie de posibles problemas de seguridad bajo el capó, que pueden dejar a los 199 millones de jugadores de Roblox (muchos de los cuales son niños) en riesgo de robo de datos.
Para analizar el código de la aplicación Roblox, CyberNews utilizó Mobile Security Framework (MobSF) y aquí están algunas de las "conclusiones más importantes" de su informe.
Puntajes de seguridad por debajo del promedio
Una vez que MobSF realiza un análisis estático de una aplicación, otorga dos puntuaciones que representan su evaluación de la seguridad de la aplicación: la puntuación media de CVSS (Common Vulnerability Scoring System) y la puntuación de seguridad de MobSF.
CyberNews los explica de la siguiente manera:
El puntaje CVSS promedio es el puntaje promedio de todas las vulnerabilidades encontradas dentro de la aplicación, y cada vulnerabilidad tiene su propio puntaje CVSS dependiendo de su gravedad. Cuanto menor sea la puntuación CVSS media, mejor. MobSF Security Score es el propio sistema de puntuación del marco que determina cuáles de los elementos escaneados de la aplicación fueron considerados vulnerables por el escáner MobSF.
Roblox recibió una puntuación CVSS media de 6,4 y una puntuación de seguridad MobSF de 10/100.
Almacenamiento de datos inseguro
No es inteligente almacenar información confidencial del usuario, como correos electrónicos y contraseñas, en texto sin formato, por lo que los desarrolladores deben usar un algoritmo de hash seguro para protegerlos. Desafortunadamente, parece que Roblox está usando "algoritmos débiles" MD5 y SHA1 para codificar algunos de sus datos.
Es más, esos datos con un hash débil se almacenan localmente en una base de datos SQLite que ejecuta consultas SQL sin procesar, lo que los deja vulnerables a los ataques de inyección SQL (SQLi).
Una clave API codificada
La aplicación Roblox usa una clave API para acceder a partes de la red Roblox. Esa clave de API solo debería ser accesible para los desarrolladores, pero se encontró en texto sin formato en el código de la aplicación.
Con esa clave API, un mal actor podría robar datos del jugador (por ejemplo, credenciales de la aplicación, información personal, etc.), alterar la forma en que la aplicación Roblox maneja sus datos o alterar las solicitudes API realizadas por la aplicación.
"Aunque esto no es difícil de solucionar, el potencial puro de ser susceptible a una vulnerabilidad tan antigua es bastante alarmante desde una perspectiva de seguridad", escribe CyberNews.
Respuesta de Roblox al informe
Al enterarse de todos los posibles problemas de seguridad que encontró dentro de la aplicación de Android, CyberNews dice que se comunicó con el equipo de Roblox, pero aparentemente no respondieron a las llamadas o correos electrónicos "durante meses".
TechRadar , sin embargo, recibió una respuesta de un portavoz de Roblox después de que CyberNews publicara su informe:
Nos tomamos todos los informes en serio y los investigamos de inmediato cuando el investigador se acercó por primera vez en marzo. Nuestra investigación determinó que no existe una correlación entre estas afirmaciones y un riesgo real para la privacidad de los datos de los usuarios. Una afirmación era inexacta y las otras tres se referían a un código inactivo que no se usaba en la plataforma Roblox. Independientemente, eliminamos el código inactivo como parte de nuestro compromiso con la seguridad y la protección de nuestros usuarios.
CyberNews ha admitido que algunos de los problemas mencionados se han solucionado en las últimas versiones de Roblox, pero sus investigadores aún creen que "la amenaza para la seguridad del jugador es muy real".
Puede leer el informe completo usted mismo en el sitio web de CyberNews .