Naukowiec ostrzega, że ​​popularna wtyczka do gier naraża miliony użytkowników Internetu na ryzyko kradzieży danych.

UPDATE, 5:45 PDT: Unity Technologies stwierdziło, że zidentyfikowało ścieżki kodowe prowadzące do luk w zabezpieczeniach i że planuje wydać poprawki w piątek. "Aktualizacje dotyczące postępów w wydaniu będą publikowane na naszym blogu" - powiedziała firma. Tutaj jest główny blog.

ORYGINALNA HISTORIA:

Naukowiec ostrzega, że ​​wtyczka do gier zainstalowana na ponad 200 milionach komputerów zawiera usterkę, która może pozwolić napastnikom ukraść dane użytkowników z witryn, do których są zalogowani, takich jak konta poczty internetowej i portale społecznościowe.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Ta technologia z Unity Technologies jest używana przez setki tysięcy programistów do tworzenia gier online i inne interaktywne treści 3D. Wada, o której naukowiec mówi, że nie została jeszcze naprawiona, znajduje się w Unity Web Player, wtyczce, która musi być zainstalowana w przeglądarkach, aby wyświetlać aplikacje sieciowe oparte na Unity.

Unity Technologies, oparte w San Francisco nie odpowiedział natychmiast na prośbę o komentarz.

Silnik Unity pozwala programistom tworzyć treści 3D, które będą działać na różnych platformach mobilnych, stacjonarnych i do gier, w tym w przeglądarkach takich jak Firefox, Chrome, Internet Explorer, Safari i Opera. Technologia ta jest popularna wśród twórców gier online i jest nawet wspierana przez Facebooka, który oferuje zestaw do tworzenia oprogramowania do integracji gier opartych na Unity z funkcjami Facebooka.

Według Unity Technologies odtwarzacz Unity Web został zainstalowany na ponad 200 milionach komputerów od marca 2013 r. Firma twierdzi, że obsługuje ponad 700 000 aktywnych programistów miesięcznie, od dużych wydawców po hobbystów, i że "dotyka" 600 milionów graczy na całym świecie poprzez gry wykonane przy użyciu jej silnika.

W tym tygodniu fiński badacz ds. bezpieczeństwa Jouko Pynnönen poinformował o znalezieniu sposobu na ominięcie polityki międzydomenowej wymuszonej przez wtyczkę, aby uzyskać dostęp do innych stron internetowych za pomocą poświadczeń aktywnego użytkownika przeglądarki.

Polityka międzydomenowa zwykle ma zapobiegać aplikacja internetowa ładowana z konkretnej nazwy domeny z dostępu do zasobów z innych domen, Pynnönen powiedział we wtorek we wpisie na blogu.

Jednak badacz znalazł lukę powoduje, że złośliwa aplikacja oszukuje gracza, umożliwiając wysyłanie żądań do stron internetowych stron trzecich.

Stworzył aplikację Unity o sprawdzonej koncepcji, która po załadowaniu przez wtyczkę przeglądarki uzyskuje dostęp do konta Gmail użytkownika, jeśli on ma aktywną sesję Gmaila i wysyła swoje wiadomości e-mail z powrotem do atakującego.

Ten sam atak mógł zostać wykonany przeciwko użytkownikom zalogowanym na Facebooku lub dowolnej innej stronie, o ile zainstalowali Unity Web Player.

"W zależności od przeglądarka internetowa i jej wersja, wtyczka może, ale nie musi zaczynać się bezpośrednio bez potwierdzenia ", powiedział badacz.

Atak nie będzie działał domyślnie w najnowszych wersjach Chrome, ponieważ od wersji Chrome 42, wydany w Kwiecień, przeglądarka nie obsługuje już wtyczek opartych na starzejącym się interfejsie programowania aplikacji Netscape Plugin (NPAPI). Obecnie istnieje obejście umożliwiające ręczne ponowne włączenie wtyczek NPAPI w przeglądarce Chrome, ale będzie działać jeszcze przez kilka miesięcy, ponieważ Google planuje całkowicie zablokować wtyczki NPAPI z Chrome jeszcze w tym roku.

Badacz twierdzi, że próbował zgłosić błąd Unity Technologies, raz w lutym i raz w kwietniu. Jednak w środę usłyszał o tym tylko w środę, dzień po tym, jak ujawnił lukę publiczną.

"Według e-maila zespół ds. Kontroli jakości zebrał raporty o błędach już dziś i działa ulepszona procedura reagowania na problemy, "Powiedział.