Windows

शोधकर्ताओं को ऑनलाइन पोकर अनुप्रयोगों में भेद्यताएं मिलती हैं

Go to Bed with Han Chandra

Go to Bed with Han Chandra
Anonim

माल्टा स्थित सुरक्षा कंपनी के मुताबिक, पोकर अनुप्रयोगों की एक समीक्षा से पता चलता है कि कई लोगों को सुरक्षा त्रुटियों का सामना करना पड़ता है, जिससे खिलाड़ियों को हमले का खतरा होता है।

रेविलन के लुइगी औरीमेमा और डोनाटो फेरांटे, जो एक है सलाहकार जो भेद्यता अनुसंधान करता है, ने गेम के क्रम में खिलाड़ियों द्वारा डाउनलोड किए गए पोकर क्लाइंट पर अपने विश्लेषण पर ध्यान केंद्रित किया।

सॉफ़्टवेयर क्लाइंट गेमिंग कंपनियों की वेबसाइटों पर चलने वाले तथाकथित "खाल" या ऑनलाइन पोकर रूम के साथ बातचीत करते हैं। उन्होंने लिखा, "एक सॉफ्टवेयर में एक भेद्यता कई खाल और लाखों खिलाड़ियों को प्रभावित कर सकती है।"

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

ऑनलाइन पोकर अन्य प्रकार के ऑनलाइन जुए से अलग है क्योंकि खिलाड़ियों को अवश्य ही सॉफ़्टवेयर क्लाइंट डाउनलोड करें, जो खिलाड़ियों के अनुभवों को बेहतर बनाता है और अनुकूलित प्रोटोकॉल पर रीयल-टाइम डेटा प्रदान करता है।

"बाहरी हमलावर के दृष्टिकोण से, क्लाइंट सॉफ़्टवेयर विश्लेषण करना दिलचस्प है क्योंकि यह पूरी तरह से बुनियादी ढांचे का एकमात्र हिस्सा है एक हमलावर के लिए उपलब्ध, "औरीमेमा और फेरेंटे ने लिखा।

अधिकांश ऑनलाइन पोकर क्लाइंट्स में सॉफ़्टवेयर अपडेट सुविधा शामिल होती है जो एप्लिकेशन प्रारंभ होने पर पहली क्रिया होती है। लेकिन शोधकर्ताओं को सिक्योर सॉकेट लेयर (एसएसएल) एन्क्रिप्शन या डिजिटल हस्ताक्षर का उपयोग किये बिना अपडेट मिले। यहां तक ​​कि यदि कोई अपडेट हस्ताक्षरित है, तो उन्होंने पाया कि कुछ मामलों में किसी व्यक्ति के कंप्यूटर पर नियंत्रण रखना अभी भी संभव था।

गेमिंग सॉफ़्टवेयर को आमतौर पर किसी खाते तक पहुंचने के लिए उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है, हालांकि कुछ कंपनियां दो का उपयोग करने के लिए चली जाती हैं -फैक्टर प्रमाणीकरण। शोधकर्ताओं ने नोट किया कि गेमिंग कंपनी पोकरस्टार अपने सॉफ्टवेयर क्लाइंट में सुरक्षा बढ़ाने के लिए आरएसए टोकन और पिन का उपयोग करती है।

लेकिन अन्य सॉफ्टवेयर प्रोग्राम गेमर्स को अपने कंप्यूटर पर पासवर्ड सहेजने की इजाजत देते हैं, हालांकि जिस तरीके से किया जाता है, इसे लीक होने से रोकें, उन्होंने लिखा।

माल्टा में कंपनी बी 3 डब्ल्यू समूह द्वारा विकसित पोकर सॉफ्टवेयर का विश्लेषण पाया गया कि यह एक असुरक्षित HTTP कनेक्शन पर सॉफ़्टवेयर को अद्यतन करता है। अद्यतन डिजिटल हस्ताक्षर के बिना संग्रहीत किए जाते हैं, और ".exe" फ़ाइलों को स्थापित करने से पहले सत्यापित नहीं किया जाता है, उन्होंने लिखा। प्लेयर का पासवर्ड भी बहुत आसानी से खराब हो जाता है और प्राप्त किया जा सकता है।

आइल ऑफ मैन पर आधारित माइक्रोगॉमिंग द्वारा निर्मित सॉफ्टवेयर, जो यूनिबेट और लैडब्रोक पोकर समेत गेमिंग कंपनियों द्वारा संचालित पोकर स्किन्स में उपयोग किया जाता है, एक बफर ओवरफ़्लो के लिए कमजोर है हमले, औरीमेमा और फेरेंटे ने लिखा।

टाइटन पोकर, विलियम हिल पोकर और बीट 365 पोकर द्वारा उपयोग किए जाने वाले पोकर सॉफ्टवेयर की आपूर्ति करने वाले प्लेटेक, डायनामिक लिंक लाइब्रेरीज़ और निष्पादन योग्य फाइलों के लिए डिजिटल हस्ताक्षर सत्यापित करते हैं। लेकिन यह स्थापित सभी अन्य फाइलों को संशोधित किया जा सकता है, जो किसी हमलावर को किसी दुर्भावनापूर्ण वेबसाइट पर किसी प्लेयर को रीडायरेक्ट करने की अनुमति दे सकता है। सॉफ्टवेयर कंपनियों को तुरंत टिप्पणी के लिए पहुंचा नहीं जा सका।