Merhaba tekno bilim adamı takipçileri; Roblox, güvenliğinde büyük delikler mi açıyor? CyberNews, bunun güvenlik açısından tamamen bir felaket olmadığını, ancak yakında halledilmezse risklerinin güvenlik açıklarına dönüşebileceğini söylüyor.
CyberNews, Roblox’un ‘Güvenlik Oyununu Yükseltmesi’ Gerekir
Araştırma yayını, kaputun altında Roblox’un 199 milyon oyuncusunu veri hırsızlığı riski altında bırakabilecek bir dizi potansiyel güvenlik sorunu bulduğunu söylüyor.
MobSF bir uygulamanın statik analizini yaptıktan sonra, uygulama güvenliği değerlendirmesini temsil eden iki puan verir: Ortalama CVSS (Ortak Güvenlik Açığı Puanlama Sistemi) puanı ve MobSF Güvenlik Puanı. CyberNews bunları şu şekilde açıklıyor;
‘’Ortalama CVSS puanı, uygulama içinde bulunan tüm güvenlik açıklarının ortalama puanıdır ve her bir güvenlik açığı, ne kadar ciddi olduğuna bağlı olarak kendi CVSS puanına sahiptir. Ortalama CVSS puanı ne kadar düşükse o kadar iyidir. MobSF Güvenlik Puanı, uygulamanın taranan öğelerinden hangilerinin MobSF tarayıcısı tarafından savunmasız olarak değerlendirildiğini belirleyen çerçevenin kendi puanlama sistemidir.’’
Roblox, Ortalama CVSS puanı 6,4 ve MobSF Güvenlik Puanı 10/100 aldı.
Güvensiz Veri Depolama
E-postalar ve şifreler gibi hassas kullanıcı bilgilerini düz metin olarak saklamak akıllıca değildir, bu nedenle geliştiricilerin bunları korumak için güvenli bir karma algoritma kullanması gerekir. Ne yazık ki, Roblox, verilerinin bir kısmına hashing uygulamak için “zayıf algoritmalar” MD5 ve SHA1 kullanıyor gibi görünüyor.
Dahası, zayıf bir şekilde karma hale getirilmiş veriler, ham SQL sorgularını yürüten bir SQLite veritabanında yerel olarak depolanır ve bu, verileri SQL Enjeksiyonu (SQLi) saldırılarına karşı savunmasız bırakır.
Roblox’un Rapora Yanıtı
CyberNews, Android uygulamasında bulduğu tüm olası güvenlik sorunlarını öğrendikten sonra Roblox ekibine ulaştığını, ancak görünüşe göre aramalara veya e-postalara “aylarca” yanıt vermediklerini söylüyor.
Raporun tamamını CyberNews web sitesinde bulabilirsiniz:
https://cybernews.com/security/is-roblox-secure-static-analysis-reveals-subpar-security-practices-on-roblox-android-app/
