Η Microsoft έχει διορθώσει ένα σφάλμα στο website του Xbox που θα μπορούσε να επιτρέψει σε κάποιους χάκερ να συνδέσουν τα tags των παικτών στο Xbox (ονόματα χρήστη) με τα πραγματικά email των χρηστών.
Η ευπάθεια αναφέρθηκε στη Microsoft μέσω του πρόσφατα εγκατεστημένου προγράμματος bug bounty της εταιρείας. Ο Joseph Harris είναι ένας από τους διάφορους ερευνητές ασφαλείας που ανέφεραν το ζήτημα στη Microsoft και μοιράστηκε τα ευρήματα του με το ZDNet νωρίτερα αυτήν την εβδομάδα.
Ο ερευνητής ασφαλείας είπε ότι το σφάλμα εντοπίστηκε στο ιστότοπο enforcement.xbox.com, την διαδικτυακή πύλη όπου οι χρήστες των Xbοx πηγαίνουν για να δουν τις προειδοποιήσεις που σχετίζονται με το προφίλ τους στο Xbox και να υποβάλουν ένσταση, εάν πιστεύουν ότι έχουν επικριθεί άδικα για τη συμπεριφορά τους στο δίκτυο του Xbox.
Αφού οι χρήστες συνδεθούν σε αυτόν τον ιστότοπο, ο ιστότοπος Xbοx Enforcement δημιουργεί ένα “cookie file” στο πρόγραμμα περιήγησης του με λεπτομέρειες σχετικά με το web session τους, οπότε δεν θα χρειαστεί να επαναλάβουν τον έλεγχο ταυτότητας την επόμενη φορά που θα επισκεφτούν ξανά τον ιστότοπο.
Ο Harris είπε ότι το “cookie file” αυτού του portal περιείχε ένα πεδίο αναγνωριστικού χρήστη Xbox (XUID) που δεν ήταν κρυπτογραφημένο.
Χρησιμοποιώντας εργαλεία που περιλαμβάνονται σε όλα τα σύγχρονα προγράμματα περιήγησης, ο Harris επεξεργάστηκε το πεδίο XUID και το αντικατέστησε με το XUID ενός δοκιμαστικού λογαριασμού που είχε δημιουργήσει και είχε χρησιμοποιήσει για δοκιμές ως μέρος του προγράμματος Xbox bug bounty.
Η Microsoft ανέπτυξε μια ενημερωμένη έκδοση κώδικα για αυτό το σφάλμα τον περασμένο μήνα. “Η λύση ήταν η κρυπτογράφηση του XUID”, είπε ο Harris.
Η επιδιόρθωση αναπτύχθηκε από την πλευρά του server και “δεν υπάρχουν επιπλέον βήματα που πρέπει να κάνουν οι χρήστες για να παραμείνουν προστατευμένοι“, δήλωσε ένας εκπρόσωπος της Microsoft σε ένα email την Τρίτη. Ο Harris είπε ότι τα άλλα subdomains του Xbox δεν αντιμετωπίζουν το ίδιο πρόβλημα.
Ένας αναλυτής ασφαλείας που εργάζεται για το Κέντρο απόκρισης ασφαλείας της Microsoft, δήλωσε ότι το σφάλμα δεν καλύπτεται από το πρόγραμμα Xbox bug bounty, αλλά η εταιρεία συμφώνησε να συμπεριλάβει τον Harris στο Bug Bounty Hall of Fame ως συνεργάτη.
Παρόλο που η Microsoft δεν θεώρησε ότι αυτό το σφάλμα ως άξιο χρηματικής ανταμοιβής – επειδή δεν μπορούσε να χρησιμοποιηθεί για την παραβίαση του Xbox – το σφάλμα θα μπορούσε να επιτρέψει στους απειλητικούς παράγοντες να συνδέσουν οποιοδήποτε «Xbox gamer tag» με το πραγματικό email ενός παίκτη.
