Una vulnerabilità di Fortnite rivelata da Check Point

Sei tra i circa 80 milioni di giocatori di Fortnite? Bene, allora devi sapere che i ricercatori di Check Point Software Tecnologies Ltd hanno rivelato delle vulnerabilità del gioco che consentono a un cracker di prendere il controllo degli account utente, dei suoi dati personali, delle chat e della valuta di gioco (V-bucks), compresi i dati del metodo di pagamento impostato.

Cosa è Fortnite?

Il gioco realizzato da Epic Games è uno sparatutto in terza persona giocabile sia in modalità singolo giocatore che in multiplayer. Il motore grafico usato è Unreal Engine 4.
Esistono due modalità di gioco: “Salva il mondo” e “Battaglia reale”. In entrambi i casi il compito del giocatore è sopravvivere alle orde di nemici (alieni o umani che siano…). È il videogioco del momento ed è disponibile per tutte le piattaforme, incluse Android, iOS, Windows, macOS, PlayStation, X-box e Nintendo Switch.

La vulnerabilità

Grazie a queste vulnerabilità, un attaccante è in grado di effettuare un attacco XSS durante la fase di login dell’ignaro utente. Il giocatore non deve neanche inserire i dettagli di login, l’attaccante è in grado di intercettarle lo stesso: è sufficiente che si clicchi su un link di phishing proveniente in apparenza da Epic Games, ma che in realtà arriva dal cracker.

Dopo il click, il token di autenticazione Fortnite viene sottratto dall’attaccante senza che, come detto, l’utente inserisca le credenziali di accesso.

Secondo i ricercatori di Check Point, la vulnerabilità è (o meglio era, poiché è stata fixata grazie alla collaborazione tra l’azienda di sicurezza ed Epic Games) il risultato di difetti riscontrati in due sottodomini di Epic Games che erano esposti a un reindirizzamento malevolo, consentendo ai token di autenticazione legittimi degli utenti di essere intercettati.

All’URL https://www.youtube.com/watch?time_continue=4&v=poQmRWWh45s potete vedere un video dimostrativo dell’attacco.

Come fa l’utente a difendersi da attacchi simili?

Il metodo migliore è attivare, quando disponibile, l’autenticazione a due fattori.

Per leggere l’analisi completa di questa vulnerabilità visitate il blog Check Point Research all’URL https://research.checkpoint.com/hacking-fortnite/