Skip to main content

«Roblox» beskyldes for å eksponere 100 millioner brukere via flere sikkerhetshull

Roblox
(Foto: Roblox)

Forskere hevder nå at det populære online-spillet «Roblox» inneholder en rekke sikkerhetshull som potensielt kan være kime til datainnbrudd hos mer enn 100 millioner spillere – mange av disse barn.

Ifølge en artikkel skrevet av CyberNews, har «Roblox» en rekke «graverende» problemer med sikkerheten, særlig når det gjelder Android-appen.

«Roblox»-skaperne har imidlertid nektet for at dette er tilfellet, og har sagt at forskningen er basert på inaktiv kode, og at sikkerhetshullene overhode ikke var alvorlige.

En talsperson for «Roblox» sier det følgende til TechRadar Pro: «Vi tar alle redegjørelser seriøst, og undersøkte umiddelbart forholdene når vi ble kontaktet av forskeren i mars. Våre undersøkelser viste at det ikke er noen sammenheng mellom disse påstandene og faktisk risiko hos brukernes personvern.»

«En av påstandene var unøyaktig, og de andre tre gjaldt inaktiv kode som ikke brukes i 'Roblox'-plattformen. Vi slettet likevel den inaktive koden som et ledd i vårt engasjement i å sikre våre brukere.»

Finnes det sikkerhetshull i «Roblox»?

CyberNews-artikkelen hevder at appen eksponerte brukerdata via fire separate inngangspunkter: Gjennom feilkonfigurering i AndroidManifest.xml-filen for «Roblox», utilfredsstillende hashtall-algoritmer, svakheter mot Janus-sikkerhetshullet og såkalte hardkodede API-nøkler.

Samlet sett gjorde dette at Android-varianten av «Roblox» fikk en sikkerhetsskår på 10/100 i den såkalte Mobile Security Framework-rangeringen, en test som brukes til vurdere hvor sikre telefonapper er.

Selv om CyberNews anerkjenner at noen av sikkerhetshullene har blitt fikset via oppdateringer i de nyeste versjonene av spillet mener forskerne likevel at «trusselen mot spillersikkerhet er fortsatt veldig reell», og at brukerdata som navn og e-postadresser kan være relativt enkelt å få tilgang til.

Roblox

(Image credit: Roblox)

Selv om sikkerhetsproblemer er bekymringsverdig uavhengig av kontekst, så er dette særlig prekært når det gjelder «Roblox», som stort sett spilles av barn med en alder på mellom 9 og 15 år.

Mye av lovverket som omhandler beskyttelse av data, inkludert GDPR (personvernforordningen i EU), inneholder bestemmelser som tar sikte på å beskytte barns personlige data, hvilket betyr at selskaper som Roblox Corporation har et særskilt ansvar for å gjøre programvaren de utvikler sikre.

I tillegg mener CyberNews å vite at mengden mikrotransaksjoner som finner sted på Roblox-plattformen, i kombinasjon med antallet unge brukere, gjør at spillet er et perfekt arnested for datakriminalitet.

I en uttalelse selskapet delte med medieorganisasjoner uttrykker CyberNews at de er skuffet over den lurvete måten «Roblox» forholder seg til sikkerhet i praksis, og også selskapets trege respons. Forskerne hevder at de tok kontakt med Roblox-utgiverne flerfoldige ganger for å advare selskapet om sikkerhetshullene, men at de angivelig ikke fikk noen respons.

«Det er foruroligende å se at et selskapet med flere tiårs erfaring med utvikling, millionvis av kunder og et budsjett som er deretter, følger slike fremgangsmåter innen sikkerhet», sier Mantas Sasnauskas, seniorforsker hos CyberNews.

«Vi oppfordrer Roblox til å gi sikkerhetshullene topprioritet – disse sikkerhets- og personvernsmetodene burde være langt mer omhyggelige og bør gås gjennom mer nøye, særlig siden det er snakk om et spill som har hundrevis av millioner brukere.»

Oppdatering:
CyberNews har i etterkant gitt TechRadar Pro følgende uttalelse:

«Vi er glade for at Roblox bestemte seg for å slette deler av koden, som, ifølge selskapet, ikke var i bruk, og tok også for seg tre av problemene vi påpekte. Vi mener at dette er en flott oppfølging fra Roblox, fordi dette vil gagne brukerne. Det er også god praksis å fjerne kode som ikke er i bruk når man produserer programvare. Hvis man ikke gjør det kan det ikke bare føre til problemer med ytelsen, men også med personvern og sikkerhet. Den kan sågar brukes av ondsinnede aktører.»