Falla in Ruzzle scoperta da italiani, chiusa a tempo di record

Ricercatori dell'italiana Hacktive Secutiry hanno individuato una vulnerabilità in Ruzzle. Il popolare gioco per iPhone permetteva a un malintenzionato d'impersonare altri giocatori, ma ora è stato corretto.

Avatar di Valerio Porcu

a cura di Valerio Porcu

Senior Editor

Gli specialisti italiani di Hacktive Security hanno individuato una vulnerabilità in Ruzzle, che permette di accedere al gioco impersonando un'altra persona. Mag Interactive ha già pubblicato un aggiornamento per il famoso gioco - che recentemente ha avviato un vero e proprio campionato nazionale.  Per il momento sembra quindi che la privacy dei giocatori sia nuovamente protetta.

Francesco Mormile e Carlo Pelliccioni, fondatori dell'azienda, hanno scoperto che era possibile ottenere privilegi aggiuntivi, e accedere al gioco nei panni di un altro senza inserirne la password. Con l'attacco era possibile usare la chat, accedere allo storico delle partite giocate, sfidare altri giocatori e leggere i messaggi privati.

L'attacco è relativamente semplice: bastava intercettare i pacchetti scambiati tra l'applicazione e il server, e cambiare la stringa con il nome utente. Per ottenere quest'ultima informazione, era sufficiente sfidare la vittima in una partita e analizzare il traffico scambiato durante il gioco.

I ricercatori hanno collaborato con Mag Interactive affinché fosse possibile aggiornare Ruzzle nel più breve tempo possibile, e diffuso le informazioni solo in un secondo momento. Si sono quindi seguite tutte le procedure del caso per garantire la massima sicurezza possibile, ma questa notizia ci ricorda ancora una volta in quali rischi si possa incorrere anche con un innocente gioco per iPhone.

Ogni volta che abbiamo a che fare con un server esterno, infatti, è sempre possibile che si verifichi un'eventualità come questa. Finché si parla del gioco in sé, tuttavia, il rischio è contenuto perché difficilmente lo si usa per scambiare messaggi particolarmente rilevanti. C'è però da considerare anche l'autenticazione via Facebook: in questo caso i dati relativi al social network non erano in pericolo, ma non è detto che un'applicazione mal progettata possa metterli a rischio - per quanto Facebook stesso abbia sistemi di protezione piuttosto solidi.

I rischi, come alcuni sapranno, aumentano sensibilmente se s'installano applicazioni da fonti non verificate, diverse cioè dall'App Store, Google Play e simili. Ognuno è libero di fare come meglio crede, ovviamente, e non è il caso di demonizzare le alternative ai negozi ufficiali - ma è meglio assicurarsi di sapere quel che si sta facendo. Ad amici e parenti non troppo preparati, quindi, consiglieremmo di limitarsi alle fonti ufficiali per una maggiore sicurezza. E voi?