Rapport: Roblox a de nombreux problèmes de sécurité potentiels sur Android
Roblox présente-t-il de grands trous dans sa sécurité? Cela ressemblerait à cela. CyberNews dit que ce n'est pas une catastrophe totale en termes de sécurité, mais que ses risques pourraient se transformer en vulnérabilités s'ils ne sont pas rapidement pris en charge.
CyberNews dit que Roblox devrait « améliorer son jeu de sécurité ''
CyberNews a publié les résultats de son enquête sur la sécurité de l'application Roblox pour Android.
La publication de recherche indique qu'elle a découvert un certain nombre de problèmes de sécurité potentiels sous le capot, ce qui pourrait exposer les 199 millions de joueurs de Roblox (dont beaucoup sont des enfants) à un risque de vol de données.
Pour analyser le code de l'application Roblox, CyberNews a utilisé le Mobile Security Framework (MobSF) et voici quelques-uns des "plus grands points à retenir" de son rapport.
Scores de sécurité inférieurs à la moyenne
Une fois que MobSF a effectué une analyse statique d'une application, il donne deux scores représentant son évaluation de la sécurité de l'application: le score CVSS (Common Vulnerability Scoring System) moyen et le score de sécurité MobSF.
CyberNews les explique comme suit:
Le score CVSS moyen est le score moyen de toutes les vulnérabilités trouvées dans l'application, chaque vulnérabilité ayant son propre score CVSS en fonction de sa gravité. Plus le score CVSS moyen est bas, mieux c'est. Le score de sécurité MobSF est le propre système de notation du framework qui détermine lesquels des éléments numérisés de l'application ont été jugés vulnérables par le scanner MobSF.
Roblox a reçu un score CVSS moyen de 6,4 et un score de sécurité MobSF de 10/100.
Stockage de données non sécurisé
Il n'est pas judicieux de stocker des informations utilisateur sensibles telles que les e-mails et les mots de passe en texte brut, c'est pourquoi les développeurs devraient utiliser un algorithme de hachage sécurisé pour les protéger. Malheureusement, il semble que Roblox utilise des «algorithmes faibles» MD5 et SHA1 pour hacher certaines de ses données.
De plus, ces données faiblement hachées sont stockées localement dans une base de données SQLite qui exécute des requêtes SQL brutes, ce qui les rend vulnérables aux attaques par injection SQL (SQLi).
Une clé API codée en dur
L'application Roblox utilise une clé API pour accéder à certaines parties du réseau Roblox. Cette clé API ne devrait être accessible qu'aux développeurs, mais elle a été trouvée en texte brut dans le code de l'application.
Avec cette clé API, un mauvais acteur pourrait voler les données du joueur (par exemple, les informations d'identification de l'application, les informations personnelles, etc.), altérer la façon dont l'application Roblox traite ses données ou modifier les demandes d'API effectuées par l'application.
«Même si cela n'est pas difficile à résoudre, le potentiel brut d'être sensible à une vulnérabilité aussi ancienne est plutôt alarmant du point de vue de la sécurité», écrit CyberNews.
Réponse de Roblox au rapport
Après avoir pris connaissance de tous les problèmes de sécurité potentiels trouvés dans l'application Android, CyberNews dit avoir contacté l'équipe Roblox, mais elle n'a apparemment pas répondu aux appels ou aux e-mails «pendant des mois».
TechRadar , cependant, a reçu une réponse d'un porte-parole de Roblox après que CyberNews a publié son rapport:
Nous prenons tous les rapports au sérieux et avons immédiatement enquêté lorsque le chercheur a été contacté pour la première fois en mars. Notre enquête a déterminé qu'il n'y a pas de corrélation entre ces allégations et un risque réel pour la confidentialité des données des utilisateurs. Une réclamation était inexacte et les trois autres concernaient un code inactif non utilisé sur la plate-forme Roblox. Quoi qu'il en soit, nous avons supprimé le code inactif dans le cadre de notre engagement envers la sécurité et la sûreté de nos utilisateurs.
CyberNews a admis que certains des problèmes mentionnés ont été corrigés dans les dernières versions de Roblox, mais ses chercheurs estiment toujours que «la menace pour la sécurité des joueurs est bien réelle».
Vous pouvez lire le rapport complet par vous-même sur le site Web de CyberNews .