Relatório: Roblox tem vários problemas potenciais de segurança no Android
O Roblox está apresentando grandes falhas em sua segurança? Parece que sim. A CyberNews diz que não é um desastre total em termos de segurança, mas seus riscos podem se transformar em vulnerabilidades se não forem resolvidos logo.
CyberNews diz que Roblox deve 'aumentar seu jogo de segurança'
A CyberNews relatou as descobertas de sua investigação sobre a segurança do aplicativo Roblox para Android.
A publicação da pesquisa diz que encontrou uma série de possíveis problemas de segurança sob o capô, que podem deixar os 199 milhões de jogadores do Roblox (muitos dos quais são crianças) em risco de roubo de dados.
Para analisar o código do aplicativo Roblox, a CyberNews usou o Mobile Security Framework (MobSF) e aqui estão alguns dos "maiores resultados" de seu relatório.
Pontuação de segurança abaixo da média
Depois que o MobSF executa a análise estática de um aplicativo, ele fornece duas pontuações que representam sua avaliação da segurança do aplicativo: a pontuação média do CVSS (Common Vulnerability Scoring System) e a pontuação de segurança do MobSF.
CyberNews os explica da seguinte forma:
A pontuação CVSS média é a pontuação média de todas as vulnerabilidades encontradas no aplicativo, com cada vulnerabilidade tendo sua própria pontuação CVSS dependendo de quão grave ela é. Quanto menor a pontuação média do CVSS, melhor. O MobSF Security Score é o próprio sistema de pontuação da estrutura que determina quais dos elementos escaneados do aplicativo foram considerados vulneráveis pelo scanner MobSF.
Roblox recebeu uma pontuação CVSS média de 6,4 e uma pontuação de segurança MobSF de 10/100.
Armazenamento de dados inseguro
Não é inteligente armazenar informações confidenciais do usuário como e-mails e senhas em texto simples, razão pela qual os desenvolvedores devem usar um algoritmo de hash seguro para protegê-los. Infelizmente, parece que o Roblox está usando "algoritmos fracos" MD5 e SHA1 para fazer o hash de alguns de seus dados.
Além do mais, os dados com hash fraco são armazenados localmente em um banco de dados SQLite que executa consultas SQL brutas – deixando-os vulneráveis a ataques de injeção SQL (SQLi).
Uma chave de API codificada
O aplicativo Roblox usa uma chave de API para acessar partes da rede Roblox. Essa chave de API só deve ser acessível aos desenvolvedores, mas foi encontrada em texto simples no código do aplicativo.
Com essa chave de API, um mau ator pode roubar dados do jogador (por exemplo, credenciais do aplicativo, informações pessoais, etc.), adulterar como o aplicativo Roblox lida com seus dados ou alterar as solicitações de API feitas pelo aplicativo.
“Mesmo que isso não seja difícil de consertar, o potencial bruto de ser suscetível a uma vulnerabilidade tão antiga é bastante alarmante do ponto de vista da segurança”, escreve CyberNews.
Resposta de Roblox ao relatório
Ao saber sobre todos os possíveis problemas de segurança encontrados no aplicativo Android, a CyberNews diz que entrou em contato com a equipe da Roblox, mas eles aparentemente não responderam às ligações ou e-mails "por meses".
A TechRadar , no entanto, obteve uma resposta de um porta-voz da Roblox depois que a CyberNews publicou seu relatório:
Levamos todos os relatos a sério e imediatamente investigados quando contatados pela primeira vez pelo pesquisador em março. Nossa investigação determinou que não há correlação entre essas reclamações e o risco real para a privacidade dos dados dos usuários. Uma afirmação era imprecisa e as outras três diziam respeito a código inativo não usado na plataforma Roblox. Independentemente disso, excluímos o código inativo como parte de nosso compromisso com a segurança e a proteção de nossos usuários.
A CyberNews admitiu que alguns dos problemas mencionados foram corrigidos nas últimas versões do Roblox, mas seus pesquisadores ainda acreditam que “a ameaça à segurança do jogador é muito real”.
Você pode ler o relatório completo por si mesmo no site da CyberNews .