A Blizzard é responsável por alguns dos jogos mais populares de sempre, como o World of Warcraft, mas infelizmente também foi responsável por deixar os computadores dos seus milhões de jogadores em risco.
Com um catálogo de jogos que engloba não só o World of Warcraft mas também jogos como o Overwatch, Diablo III, Starcraft II (entre muitos outros), a Blizzard está presente em centenas de milhões de computadores. Infelizmente, isso faz também com que qualquer falha no seu software se torne bastante apetecível para atacantes desejosos de chegar a este vasto número de potenciais vítimas - e era precisamente o que era possível.
Tavis Ormandy, investigador do Project Zero da Google, descobriu que o software de actualização da Blizzard é vulnerável a ataques de DNS rebinging, fazendo com que seja possível que qualquer site na web envie comandos para o mesmo. Uma vez que este "actualizador" tem a capacidade de instalar e executar programas, os riscos são substanciais - potencialmente permitindo que um site malicioso instalasse malware sem qualquer intervenção do utilizador (a não ser passar por uma página web infectada).
O investigador contactou a Blizzard, informando-a do que se passava e sugerindo correcções, e a Blizzard inicialmente até se mostrou receptiva... até ao ponto em que simplesmente deixou de comunicar com ele, nem sequer lhe dizendo que tinham lançado uma correcção - que se viria a revelar não ser a mais adequada (e mais complexa e trabalhosa do que a solução sugerida).
Desde então a Blizzard parece ter reatado as comunicações, dizendo que a correcção definitiva (como tinha sido sugerida) está a ser preparada e será disponibilizada assim que possível.
... Para todos os utilizadores, é mais um exemplo do contrato implícito de confiança que se tem com qualquer empresa de quem se aceite instalar o software; e que lamentavelmente continuam a expor esses mesmos utilizadores em risco. Não percebo a necessidade de que qualquer plataforma de jogos necessite de manter um "servidor" permanentemente em funcionamento com a desculpa das actualizações; quando isso seria algo que poderia ser feito da próxima vez que o utilizador fosse correr o jogo - dispensando a necessidade de ter a tal porta permanentemente aberta a ataques.
Mas pronto... já me resignei a que pouco ou nenhum controlo temos sobre o software que corre nos nossos computadores hoje em dia; embora não consiga evitar ficar profundamente irritado de cada vez que instalo mais alguma coisa, e vejo serem adicionados processos ou serviços à lista de coisas que o computador está a executar... sem qualquer necessidade! (De tempos a tempos lá me dou ao trabalho de perder alguns minutos a matar processos e remover serviços... mas é uma guerra impossível de ganhar... pois só dura até à próxima actualização ou reboot.)
Sem comentários:
Enviar um comentário (problemas a comentar?)