レポート:RobloxにはAndroidで多数の潜在的なセキュリティ問題があります

Robloxはそのセキュリティに大きな穴をあけていますか?それはそのように見えるでしょう。 Cyber​​Newsによると、セキュリティ面では完全な災害ではありませんが、すぐに対処しないと、そのリスクが脆弱性に変わる可能性があります。

Cyber​​Newsは、Robloxは「セキュリティゲームを強化する」べきだと述べています

Cyber​​Newsは、Android用Robloxアプリのセキュリティに関する調査結果を報告しました。

研究出版物は、内部で多くの潜在的なセキュリティ問題を発見したと述べています。これにより、Robloxの1億9900万人のプレーヤー(その多くは子供)がデータ盗難のリスクにさらされる可能性があります。

関連: Robloxとは何ですか?それは子供にとって安全ですか?

Robloxアプリのコードを分析するために、Cyber​​Newsはモバイルセキュリティフレームワーク(MobSF)を使用しました。これは、レポートからの「最大のポイント」の一部です。

平均セキュリティスコアを下回る

MobSFがアプリの静的分析を実行した後、アプリのセキュリティの評価を表す2つのスコアを提供します。平均CVSS(Common Vulnerability Scoring System)スコアとMobSFセキュリティスコアです。

Cyber​​Newsはそれらを次のように説明しています。

平均CVSSスコアは、アプリ内で見つかったすべての脆弱性の平均スコアであり、各脆弱性には、その重大度に応じて独自のCVSSスコアがあります。平均CVSSスコアが低いほど良いです。 MobSFセキュリティスコアは、アプリのスキャンされた要素のどれがMobSFスキャナーによって脆弱であると見なされたかを判断するフレームワーク独自のスコアリングシステムです。

Robloxは6.4の平均CVSSスコアと10/100のMobSFセキュリティスコアを受け取りました。

安全でないデータストレージ

電子メールやパスワードなどの機密性の高いユーザー情報をプレーンテキストで保存するのは賢明ではありません。そのため、開発者は安全なハッシュアルゴリズムを使用してそれらを保護する必要があります。残念ながら、Robloxは「弱いアルゴリズム」MD5とSHA1を使用してデータの一部をハッシュしているようです。

さらに、弱くハッシュされたデータは、生のSQLクエリを実行するSQLiteデータベースにローカルに保存されるため、SQLインジェクション(SQLi)攻撃に対して脆弱なままになります。

ハードコードされたAPIキー

Robloxアプリは、APIキーを使用してRobloxネットワークの一部にアクセスします。そのAPIキーは開発者のみがアクセスできる必要がありますが、アプリのコードではプレーンテキストで見つかりました。

そのAPIキーを使用すると、悪意のある攻撃者がプレーヤーデータ(アプリの資格情報、個人情報など)を盗んだり、Robloxアプリがデータを処理する方法を改ざんしたり、アプリからのAPIリクエストを変更したりする可能性があります。

「これを修正するのは難しいことではありませんが、そのような古代の脆弱性の影響を受けやすいという生の可能性は、セキュリティの観点からはかなり憂慮すべきものです」とCyber​​Newsは書いています。

関連: APIとは何ですか?頭字語はどういう意味ですか?

レポートに対するRobloxの応答

Cyber​​Newsは、Androidアプリ内で見つかった潜在的なセキュリティの問題をすべて知った後、Robloxチームに連絡したと述べていますが、電話やメールに「数か月間」応答しなかったようです。

しかし、 TechRadarは、Cyber​​Newsがレポートを公開した後、Robloxのスポークスパーソンから返答を得ました。

私たちはすべての報告を真剣に受け止め、3月に研究者が最初にアプローチしたときにすぐに調査しました。私たちの調査では、これらの主張とユーザーのデータプライバシーに対する実際のリスクとの間に相関関係はないと判断されました。 1つの主張は不正確であり、他の3つはRobloxプラットフォームで使用されていない非アクティブなコードに関するものでした。とにかく、ユーザーのセキュリティと安全性への取り組みの一環として、非アクティブなコードを削除しました。

Cyber​​Newsは、言及された問題のいくつかがRobloxの最新バージョンでパッチされていることを認めていますが、その研究者は依然として「プレーヤーのセキュリティに対する脅威は非常に現実的である」と信じています。

あなたはCyber​​Newsウェブサイトであなた自身のために完全なレポートを読むことができます。