Se han descubierto unas cuantas vulnerabilidades de seguridad que podrían comprometer los datos de más de 100 millones de jugadores de Roblox, muchos de ellos menores de edad y niños.
Según un informe de los investigadores de seguridad de CyberNews, el extremadamente popular juego online sufre de unos cuantos 'evidentes' fallos de seguridad, especialmente relativos a la aplicación de Android.
Se dice que la app expone los datos del usuario por cuatro vías distintas: malas configuraciones en el archivo manifest de Roblox para Android, algoritmos de hash inapropiados, susceptibilidad a vulnerabilidad de Janus y claves de API codificadas.
Estos problemas, combinados, dan a la app de Roblox para Android un 10 sobre 100 en Mobile Security Framework, un famoso test para averiguar el rendimiento en seguridad de las aplicaciones móviles.
Aunque algunos de estos fallos se han arreglado en las últimas versiones, CyberNews dice que la 'amenaza de seguridad para el jugador es muy real' y que datos como el nombre y la dirección de correo podrían verse comprometidas con relativa facilidad.
En algunos casos, las vulnerabilidades en la app de Roblox para Android podrían incluso permitir a los atacantes acceder a datos sensibles guardados en el dispositivo del jugador.
Problemas de seguridad de Roblox
A pesar de que cualquier problema de seguridad es motivo de preocupación, este en particular de Roblox, que juegan mayoritariamente niños de entre 9 y 15 años, es grave por ese mismo motivo.
Muchas leyes de protección de datos, incluidas la GDPR y la LOPD, contienen artículos específicos hechos para incrementar la protección de los datos personales de los niños, así que compañías como Roblox están obligadas a ir más allá protegiendo estos datos de posibles ataques.
Además, según CyberNews, el volumen de micropagos que se hacen en la plataforma de Roblox, junto al número de usuarios jóvenes, hacen a la app un lugar ideal para los criminales.
En el informe, CyberNews expresa su enfado con la chapuza de seguridad que tiene Roblox, pero también con la impasible respuesta de la compañía. Los investigadores dicen haber contactado con Roblox en múltiples ocasiones para advertir de las vulnerabilidades de la compañía, sin haber recibido (supuestamente) una respuesta.
'Es preocupante ver a una compañía con décadas de experiencia, millones de clientes y un presupuesto tan alto, seguir estas prácticas de seguridad', dice Mantas Sasnauskas, investigador senior de CyberNews.
'Nos dirigimos a Roblox para comunicarle la máxima prioridad que tienen los problemas de seguridad de la plataforma, y que deberían ser más rigurosos y mirar más allá, especialmente con un juego que tienen tantos millones de usuarios.'
Actualización:
CyberNews ha declarado lo siguiente a TechRadar:
"Estamos contentos de que Roblox haya decidido eliminar la parte del código que, según ellos, estaba inactivo, y han tratado tres de los problemas que les planteamos. Creemos que esta es una gran reacción por parte de Roblox porque será beneficiosa para los usuarios. Y es una buena práctica no mantener activa una pieza de código redundante. De lo contrario, puede causar no solo problemas de rendimiento, sino también problemas de privacidad y seguridad, o incluso puede ser utilizado por gente sin escrúpulos".
