Ruzzle: un hacker potrebbe giocare al vostro posto

Ancora in piena Ruzzle mania - il popolare gioco di Mag Interactive ha superato i 25 milioni di utenti e continua a impazzare su smartphone e tablet - ecco una notizia che potrebbe scuotere parecchi giocatori accaniti: Ruzzle ha - o per meglio dire aveva fino a pochi giorni addietro - un serio problema di vulnerabilità, tale da mettere a rischio la privacy degli utenti.

Ciò perlomeno fino alla versione 1.4.7 che è stata da poco superata; il software ora si aggiorna "forzatamente" alla versione 1.4.8.

Il merito della scoperta va a un team di informatici italiani, che hanno pubblicato in Rete una lunga descrizione delle proprie scoperte, in inglese . Con sede legale a Pomigliano d'Arco e sede operativa a Ciampino, Hacktive Security è una realtà indipendente italiana che dal 2010 fornisce servizi in ambito informatico, con particolare attenzione - come il nome stesso suggerisce - alla sicurezza.

A gennaio, sul proprio sito, in un breve comunicato la società annunciava l'inizio di una ricerca che avrebbe riguardato le eventuali vulnerabilità di alcune tra le più diffuse applicazioni del settore mobile.

Considerato il boom di Ruzzle degli ultimi mesi e gli aspetti social dello stesso programma, era semplicemente logico inserire un'app del genere nella lista di quelle sotto esame.

A questo punto vi chiederete: che rischio c'è a usare Ruzzle? Se anche dovessero rubarmi l'account, sarebbe certo una perdita meno grave di una carta di credito clonata o del furto di credenziali per l'online banking.

Secondo quanto rilevato dagli esperti di Hacktive Security - che, peraltro, hanno giustamente avvisato la Mag sin da gennaio, ben due mesi prima di rendere pubbliche le proprie scoperte - un utente avrebbe potuto abusare del protocollo utilizzato dal programma, ottenere maggiori privilegi ed impersonare un determinato utente:

Scopo della nostra ricerca era di ottenere accesso com un utente diverso (che chiameremo "vittima") senza autenticazione ed eseguire azioni con l'identità della vittima. Il protocollo dell'applicazione Ruzzle implementa una funzione di chat che gli utenti possono utilizzare per scambiare messaggi con gli amici con cui si stanno sfidando. I risultati dei nostri test hanno mostrato che un utente malintenzionato può ottenere il pieno controllo dell'account della vittima, potendo accedere all'intera lista delle partite giocate e di quelle attuali, sfidare gli amici della vittima e -  cosa ben più grave - avere accesso ai messaggi privati scambiati con altri utenti attraverso la funzione interna di chat e la possibilità di chattare con altri utenti impersonando la vittima.

Nonostante la falla fosse tutt'altro che trascurabile e a dispetto di una serie di messaggi scambiati tra Svezia e Italia apparentemente con interesse da parte dei creatori di Ruzzle, Mag sembra aver fatto per un po' orecchie da mercante, dando la precedenza ad altri aggiornamenti, per poi risolvere con l'offuscamento del protocollo a partire dalla versione 1.4.8 rilasciata da poco, e il successivo aggiornamento forzato delle copie già installate.

Conclude Francesco Mormile di Hacktive Security: "Sembra che il problema sia stato finalmente risolto. La 1.4.7 viene forzatamente aggiornata altrimenti non funziona. Tuttavia mi riservo di approfondire l'analisi anche sulla 1.4.8 per capire quanto l'offuscamento del protocollo sia solido. I test la scorsa settimana hanno permesso, partendo da una versione 1.4.7 di impersonare anche utenti della 1.4.8"; ciò perché il problema era probabilmente nel server centrale del gioco più che nella passata versione dell'app.

In altre parole, le ultime modifiche apportate da Mag dovrebbero - almeno per il momento - aver fatto rientrare l'allarme.