Ruzzle, bug in chat: problema risolto ma app resta sotto osservazione


Chat a rischio intrusione su Ruzzle: il pericolo rientra ma la falla di sicurezza che ha generato l’allarme è ancora "sotto osservazione". A dirlo è il team di ricerca e sviluppo di Hacktive Security, società italiana specializzata in sicurezza informatica, che ha scovato e segnalato a Mag Interactive, azienda svedese "madre" di Ruzzle, la falla nel paroliere in formato "app" diventato mania per oltre 25 milioni di utenti nel mondo. 

A gennaio di quest’anno, spiega Francesco Mormile, socio fondatore di Hacktive Security, il team di ricerca ha riscontrato una vulnerabilità in Ruzzle (indipendentemente dalla piattaforma) che "consentiva di rubare l’identità di un qualsiasi utente, permettendo di consultare la lista delle partite giocate, sfidare nuovi contatti, di leggere i messaggi privati scambiati con altri utenti o introdursi nelle chat stesse scrivendo messaggi". Ecco cosa si legge dal comunicato diffuso dall’azienda di informatici italiani: 

"Scopo della nostra ricerca era di ottenere accesso com un utente diverso (che chiameremo "vittima") senza autenticazione ed eseguire azioni con l'identità della vittima. Il protocollo dell'applicazione Ruzzle implementa una funzione di chat che gli utenti possono utilizzare per scambiare messaggi con gli amici con cui si stanno sfidando. I risultati dei nostri test hanno mostrato che un utente malintenzionato può ottenere il pieno controllo dell'account della vittima, potendo accedere all'intera lista delle partite giocate e di quelle attuali, sfidare gli amici della vittima e - cosa ben più grave - avere accesso ai messaggi privati scambiati con altri utenti attraverso la funzione interna di chat e la possibilità di chattare con altri utenti impersonando la vittima".

Una falla "grave", sottolinea Mormile, considerando che anche i giovanissimi giocano a Ruzzle dal proprio smartphone o dal tablet dei genitori. Dopo una prima segnalazione a Mag Interactive, aggiunge, l’azienda ha rilasciato un primo aggiornamento che però "non risolveva la possibilità di intrusioni" e quindi "siamo tornati alla carica" evidenziando i rischi di potenziale furto d’identità. 

La vulnerabilità è stata risolta con un aggiornamento il 20 marzo che "offusca il protocollo di comunicazione" ma la soluzione non convince del tutto i ricercatori italiani. "Non è detto - dice Mormile - che sia stata 'bonificata' quella parte di codice che ha originato il problema. Siamo al lavoro per capire esattamente i meccanismi implementati". Intanto la Ruzzle-mania avanza. Da pochissimi giorni sono disponibili anche le app per BlackBerry Z10 e Windows Phone, mentre il primo Campionato italiano dedicato al gioco, fino al 14 aprile, ha superato i 65mila iscritti.


Via: La Stampa

Nessun commento:

Posta un commento