Scoperta vulnerabilità in Fortnite: come proteggersi

Author: Le news di Hardware Upgrade

Secondo le ultime informazioni divulgate dal fornitore di soluzioni di cybersecurity Check Point, i giocatori di Fortnite, che adesso è il videogioco multiplayer in assoluto più popolare, hanno corso un grosso rischio di sicurezza. Se sfruttata, la vulnerabilità, immediatamente risolta da Check Point ed Epic Games, avrebbe potuto consentire a un hacker di ottenere l’accesso all’account di un utente e ai propri dati personali, o addirittura la possibilità di ottenere moneta virtuale utilizzando i dati della carta di credito della vittima.

“Queste piattaforme sono sempre più prese di mira dagli hacker a causa dell’enorme quantità di dati sensibili in loro possesso. L’autenticazione a due fattori potrebbe limitare la presa di controllo degli account da parte degli hacker” ha dichiarato Oded Vanunu, Head Of Products Vulnerability Research di Check Point.

La vulnerabilità avrebbe potuto consentire agli hacker di intercettare conversazioni, nonché i rumori circostanti tramite il microfono e le chat, all’interno della casa della vittima o in un altro luogo. Si tratta di un tipo di vulnerabilità nuovo per Fortnite, visto che i giocatori del titolo Epic fino a oggi sono stati presi di mira da truffe che li portavano ad accedere a siti web falsi che promettevano di generare la valuta V-Buck. Queste nuove vulnerabilità, invece, avrebbero potuto essere sfruttate senza che il giocatore cedesse i dati di accesso.

Check Point ha fornito un’esauriente documentazione tecnica sulla vulnerabilità, indicando i sotto-domini, e uno fra questi è http://ut2004stats.epicgames.com, contenenti le vulnerabilità, che complessivamente sono tre. Questo dominio “conteneva una pagina web chiamata ‘maps’. Si tratta di una pagina web utilizzata per presentare le statistiche dei tornei ordinate in base al nome / id della mappa” si legge al link precedente. “Quando sei alla ricerca di vulnerabilità XSS, sia riflesse che memorizzate, è chiaro che dovresti cercare una traccia del tuo input nella pagina – e questo è esattamente ciò che abbiamo trovato nel componente di ricerca. In effetti, un’altra caratteristica di questa pagina è la barra di ricerca che fungerà da injection point per la vulnerabilità XSS”.

“Questo ha rappresentato la grande svolta nella nostra ricerca in quanto è diventato chiaro che avevamo un XSS su ut2004stats.epicgames.com”. Secondo i ricercatori di Check Point, la vulnerabilità era, dunque, il risultato di difetti riscontrati in due sottodomini di Epic Games che erano esposti a un reindirizzamento malevolo, consentendo ai token di autenticazione legittimi degli utenti di essere intercettati da un hacker dal sottodominio compromesso.

I ricercatori sono stati in grado di dimostrare il processo di autenticazione basato su token utilizzato in combinazione con i sistemi SSO (Single Sign-On) come Facebook, Google e Xbox per rubare le credenziali di accesso dell’utente e assumere il controllo del loro account. Per cadere vittima di questo attacco, al giocatore basta fare click su un link di phishing proveniente da Epic Games, ma che di fatto è stato inviato realmente dall’hacker. Una volta cliccato, il token di autenticazione Fortnite dell’utente può essere sottratto dall’hacker senza che l’utente inserisca alcuna credenziale di accesso. Check Point ha informato Epic Games della vulnerabilità, che ora è stata risolta.

Autenticazione a due fattori

Al fine di ridurre al minimo la minaccia di un attacco che sfrutta vulnerabilità come questa, gli utenti dovrebbero abilitare l’autenticazione a due fattori, assicurandosi che, quando si accede al proprio account da un nuovo dispositivo, venga inserito un codice di sicurezza inviato agli indirizzi e-mail dell’utente.

Per attivare l’autenticazione a due fattori:

1. Nelle impostazioni dell’account di Fortnite, bisogna cliccare sulla scheda PASSWORD E SICUREZZA per visualizzare le impostazioni di sicurezza.
2. Sul fondo della pagina, nel paragrafo AUTENTICAZIONE A DUE FATTORI, cliccare su ATTIVA APP AUTHENTICATOR o su ATTIVA AUTENTICAZIONE PER E-MAIL per scegliere un metodo di autenticazione a due fattori.