Scoperte gravi vulnerabilità nel client di gioco Origin di Electronic Arts

Scoperte gravi vulnerabilità nel client di gioco Origin di Electronic Arts

Potrebbe diventare un problema serio per i giocatori che usano il client di Origin, portando alla perdita dell'account e conseguentemente dei giochi

di pubblicata il , alle 10:41 nel canale Sicurezza
Electronic ArtsCheck Point
 

Check Point Research e CyberInt hanno identificato una serie di falle nel client di gioco Origin sviluppato da Electronic Arts. Se sfruttate, le vulnerabilità avrebbero potuto portare alla presa di controllo dell'account del giocatore e al furto della sua identità. Malintenzionati che siano in grado di sfruttare le vulnerabilità, quindi, possono entrare in possesso di estese librerie di giochi non altrimenti disponibili per i legittimi proprietari se non nel formato online. Fondamentalmente i ricercatori delle aziende in questione vanno a sondare le potenziali vulnerabilità per poi collaborare con EA per trovare una soluzione.

Le falle riscontrate nella piattaforma di EA non richiedevano all'utente di trasmettere qualsiasi dato di accesso. Al contrario, sfruttavano i sottodomini abbandonati e l'uso dei token per l’autenticazione di EA Games in combinazione con il meccanismo SSO (Single Sign-On) di OAuth e TRUST che si trova all’interno del processo di login dell’utente di EA Game. Check Point Research ha recentemente segnalato un caso simile che ha coinvolto un altro gioco molto popolare, Fortnite.

Origin Check Point Research e CyberInt

I giochi EA usano indirizzi come ea.com e origin.com per la gestione dei servizi indirizzati ai giocatori come la creazione di nuovi account per giochi come Apex Legends, l'accesso alle funzionalità da social network di Origin e l'acquisto di nuovi giochi dallo store online. In generale, ogni servizio di tipo cloud offerto da EA è registrato su un indirizzo di sottodominio unico come eaplayinvite.ea.com, e ha un puntatore DNS su un host appartenente al fornitore del servizio cloud (ea-invite-reg.azurewebsites.net) in modo che venga eseguito su Azure il servizio desiderato in background (in questo caso si tratta di un server di applicazioni Web). I ricercatori sono stati in grado di realizzare un redirect di eaplayinvite.ea.com verso il proprio profilo Azure.

"Ogni account utente di Azure può richiedere di registrare un nome di servizio specifico (Service-Name.azurewebsites.net) che sarà connesso a un dominio o sottodominio specifico" si legge nella documentazione tecnica. "Durante la ricerca di CyberInt, tuttavia, è stato scoperto che il servizio ea-invite-reg.azurewebsites.net non era più in uso all'interno dei servizi cloud di Azure ma che il sottodominio unico eaplayinvite.ea.com reindirizza ancora ad esso utilizzando un record di tipo CNAME".

"Il reindirizzamento CNAME di eaplayinvite.ea.com ci consente di creare una nuova richiesta di registrazione nel nostro account Azure e registrare ea-invite-reg.azurewebsites.net come nuovo servizio di applicazioni Web sul profilo Azure di nostra proprietà. Questo ci ha permesso di dirottare il sottodominio di eaplayinvite.ea.com e monitorare le richieste inoltrate dai reali utenti di EA".

“CyberInt offre un sistema di rilevamento tempestivo e automatizzato, in grado di prevedere le mosse degli hacker e consentire alle aziende di difendere proattivamente i propri clienti e il proprio business”, ha dichiarato Itay Yanovski, Co-Founder and SVP Strategy per CyberInt Technologies. “All’interno del dark web, i prodotti gaming sono reperibili sia in marketplace ufficiali sia in quelli non ufficiali, il che rende gli attacchi contro gli studi di gaming molto redditizi. Siamo convinti che l'industria della sicurezza informatica abbia la responsabilità di proteggere le persone, quindi è nostro dovere divulgare all’interno del settore ricerche dedicate a minacce rilevate in campagne avversarie, come il recente TA505, con lo scopo di sensibilizzare sull’adozione di misure più efficaci di rilevamento e mitigazione.”

Check Point e CyberInt consigliano fortemente agli utenti di attivare l'autenticazione a due fattori e di utilizzare solo il sito Web ufficiale per l’acquisto e il download dei giochi. I genitori poi dovrebbero sensibilizzare i loro figli sui rischi delle frodi online e sul pericolo derivante dal fatto che i criminali informatici possono compiere qualsiasi azione per sottrarre dati personali ed economici, potenzialmente presenti all’interno degli account online. Check Point e CyberInt raccomandano ai giocatori di essere sempre vigili quando ricevono i collegamenti inviati da fonti sconosciute.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

8 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
nickname8827 Giugno 2019, 10:45 #1
Che fixassero il problema dei fonts invece.
LukeIlBello27 Giugno 2019, 10:54 #2
Originariamente inviato da: nickname88
Che fixassero il problema dei fonts invece.


cioè, chi se ne fotte del furto di identità, ma abbellissero i fonts?
Titanox227 Giugno 2019, 10:55 #3
il client rispetta la qualità dei giochi ea
LukeIlBello27 Giugno 2019, 10:56 #4
Originariamente inviato da: Titanox2
il client rispetta la qualità dei giochi ea


quoto al 100%
[OzZ]27 Giugno 2019, 11:31 #5
ho attivato il login a due fattori, ma spesse volte l'email con il codice arriva oltre il tempo utile.
inited27 Giugno 2019, 11:34 #6
Forse rispecchia.
Eress27 Giugno 2019, 12:04 #7
Originariamente inviato da: LukeIlBello
cioè, chi se ne fotte del furto di identità, ma abbellissero i fonts?

Evidentemente è senza identità, egli è parte di un sistema fisico che non può essere descritto singolarmente, la sua identità si fonde coll'universo M$ alla stregua di un entanglement quantistico, ma composto di cordoni ombelicali
LukeIlBello27 Giugno 2019, 12:18 #8
Originariamente inviato da: Eress
Evidentemente è senza identità, egli è parte di un sistema fisico che non può essere descritto singolarmente, la sua identità si fonde coll'universo M$ alla stregua di un entanglement quantistico, ma composto di cordoni ombelicali


Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^