Falha no ‘Free Fire’ permitia roubo de dinheiro e itens dos usuários

Falha no ‘Free Fire’ permitia roubo de dinheiro e itens dos usuários

Com mais de 80 milhes de usurios ativos, ‘Free Fire‘ um enorme sucesso atualmente. Isso faz com que vulnerabilidades, se descobertas e exploradas, possam causar grandes danos aos jogadores. Eis que, em uma falha descoberta em agosto, os utilizadores poderiam ter seu dinheiro de dentro do jogo roubado. Felizmente, o problema j foi corrigido.

A vulnerabilidade foi descoberta por Gabriel Lima, conhecido popularmente como um hackertico que usa o nome Gabriel Pato. Segundo ele, a falha, que foi prontamente comunicada Garena, produtora do game, quando descoberta, permite que cibercriminosos interceptem os dados resultantes da comunicao entre o dispositivo dos usurios e os servidores do jogo.

Com isso, os hackers podem se passar pelos jogadores e roubar o que estiver associado conta. A nica exigncia para acessar as informaes como se fosse o utilizador estar conectado mesma rede Wi-Fi.

De acordo com Pato, a descoberta ocorreu por acaso enquanto gravava um vdeo para o seu canal no YouTube. Ele percebeu um comportamento anormal aps analisar o trfego entre o jogo e os servidores da empresa.

“Enquanto eu estudava como ocorria a comunicao entre o app e os servidores do game, acabei observando um token de sesso sendo enviado a outros servidores, que no eram os responsveis pela partida que eu estava analisando anteriormente”, revela.

Esse token citado por Pato usado para identificar a conta do usurio no jogo, sendo nico para cada utilizador. Isso permite que o jogador seja detectado e possa logar no game. “Eu sabia que, se aquele token estava aparecendo pra mim, estaria aparecendo para qualquer usurio analisando o trfego de usurios da rede”, comenta.

Para testar como essa informao poderia ser usada, o usurio criou uma ferramenta que conseguia enviar informaes para o servidor do jogo usando tokens especificados por ele. Os resultados indicam que, com a insero dos dados, foi possvel realizar compras de itens do jogo usando o dinheiro presente nas contas associadas aos tokens.

Alm disso, usando uma ferramenta de proxy, o cibercriminosopoderia se passar pela vtima, utilizando sua conta totalmente. “O invasor teria a exata mesma experincia que a vtima tem em sua prpria conta. Ele poderia, por exemplo, usar o chat e falar com amigos e guilda em nome da vtima, alterar as skins e pets da conta, abrir caixas de itens e at fazer compras usando o saldo atual de diamantes da conta, incluindo presentes para contas de terceiros”, diz.

O ltimo, sendo um dos pontos mais crticos, permite que os criminosos consigam comprar itens ou crditos usando at dinheiro real e transferi-los para outras contas.

Descoberta da vulnerabilidade

Em agosto, quando descobriu a falha, Pato tentou contato com a Garena. No entanto, ele afirma que encontrou dificuldades para isso, j que no h um meio oficial para denunciar esse tipo de problema.

Aps alguns dias de tentativa, Gabriel diz que conseguiu falar com a empresa em 21 de agosto, que enviou uma resposta trs dias depois, afirmando que estava analisando o caso. Um tempo depois, no dia 28 do mesmo ms, a empresa reconheceu o erro. No entanto, a correo foi lanada quase um ms depois, em 23 de setembro.

Esse um dos casos em que vulnerabilidadesafetam usurios em nveis elevados, mas que no h nada que os utilizadores possam fazer para se proteger. “Provavelmente quando o jogador percebesse algo irregular j seria tarde demais. Ele poderia notar, por exemplo, o uso de seus crditos de diamantes ou qualquer outra mudana de configurao de sua conta que o invasor pudesse fazer”, finaliza.

Via: Uol

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *