IT-cпециалист показал, как можно превратить Trivia Crack во вредоносное ПО

image

Теги: Android, мобильная игра, уязвимость

Специалист по безопасности Рэнди Вестергрен нашел уязвимость в игре Trivia Crack, которая позволяет злоумышленникам использовать приложение для своих целей.

Специалист по безопасности Рэнди Вестергрен (Randy Westergren) осуществил реверс-инжиниринг и перекомпилировал популярное приложение Trivia Crack для того, чтобы сделать возможным мошенничество в игровом интерфейсе. В процессе исследователь обнаружил уязвимости, которые могут быть использованы злоумышленниками в своих целях. Об этом Вестергрен сообщил в своем блоге.

На сегодняшний день количество скачиваний Trivia Crack для Android-устройств превысило цифру в 130 миллионов, статистики по версии приложения для iOS нет.

«Казалось, что приложение получает категорию, вопрос и ответ от сервера Trivia Crack до того, как пользователь начинает вращать «колесо категорий». Категория, вопрос, и правильные варианты - все это скрыто в ответе, присылаемом сервером. Это означает, что верный ответ можно достаточно просто определить через саму игру, тем самым обманув ее», - говорит Вестергрен. Специалисту удалось добыть правильный вариант ответа с помощью утилиты Grep.

Хотя усилия эксперта были направлены на осуществление мошенничества в пределах игрового интерфейса, Вестергрен указывает, что «безопасность конфиденциальности приложения-клиента не может быть гарантирована, поэтому разработчикам следует осторожнее относится к тому, что они включают в релиз».

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.