报告:Roblox在Android上存在许多潜在的安全问题

Roblox的安全性是否存在较大漏洞?它将以这种方式出现。 Cyber​​News表示,这并非完全基于灾难安全,但如果不尽快加以解决,其风险可能会变成漏洞。

Cyber​​News表示Roblox应该“加强其安全性游戏”

Cyber​​News已报告了其对Android Roblox应用程序安全性调查的结果。

该研究出版物说,它发现了许多潜在的安全问题,这可能会使Roblox的1.99亿玩家(其中许多是儿童)面临数据盗窃的风险。

相关:什么是Roblox,对儿童安全吗?

为了分析Roblox应用程序的代码,Cyber​​News使用了移动安全框架(MobSF),这是其报告中的“最大收获”。

低于平均安全分数

MobSF对应用程序执行静态分析后,会给出两个分数来表示其对应用程序安全性的评估:平均CVSS(通用漏洞评分系统)分数和MobSF安全性分数。

Cyber​​News对它们的解释如下:

平均CVSS分数是应用程序中发现的所有漏洞的平均分数,每个漏洞都有自己的CVSS分数,具体取决于其严重程度。平均CVSS分数越低越好。 MobSF安全评分是框架自己的评分系统,可确定MobSF扫描程序认为应用程序的哪些扫描元素易受攻击。

Roblox的CVSS平均得分为6.4,MobSF安全得分为10/100。

不安全的数据存储

以纯文本格式存储敏感的用户信息(例如电子邮件和密码)是不明智的,这就是为什么开发人员应使用安全的哈希算法来保护它们的原因。不幸的是,看起来Roblox正在使用“弱算法” MD5和SHA1来哈希其某些数据。

而且,弱散列数据存储在本地SQLite数据库中,该数据库执行原始SQL查询-使其容易受到SQL Injection(SQLi)攻击。

硬编码的API密钥

Roblox应用程序使用API​​密钥来访问Roblox网络的各个部分。该API密钥仅供开发人员访问,但可以在应用程序代码的纯文本中找到。

使用该API密钥,错误的演员可能会窃取玩家数据(例如,应用程序凭据,个人信息等),篡改Roblox应用程序如何处理其数据或更改该应用程序发出的API请求。

Cyber​​News写道:“尽管解决起来并不难,但从安全的角度来看,容易受到这种古老漏洞的潜在潜在威胁却是令人震惊的。”

相关:什么是API?首字母缩写是什么意思?

Roblox对报告的回应

在得知它在Android应用程序中发现的所有潜在安全问题后,Cyber​​News表示已与Roblox团队联系,但显然他们“几个月没有响应”电话或电子邮件。

然而,在Cyber​​News发布报告后, TechRadar得到了Roblox发言人的回应:

我们认真对待所有报告,并在3月首次与研究人员联系时立即进行了调查。我们的调查确定,这些声明与对用户数据隐私的实际风险之间没有关联。一种说法是不准确的,其他三种是与Roblox平台上未使用的无效代码有关的。无论如何,我们删除不活动的代码是我们对用户安全性的承诺的一部分。

Cyber​​News承认提到的某些问题已在最新版本的Roblox中进行了修补,但其研究人员仍认为“对播放器安全性的威胁是非常现实的”。

您可以在Cyber​​News网站上自己阅读完整的报告。