UPlay: Hacker hatten alle Freiheiten fernzusteuern
Alexander Trust, den 31. Juli 2012
Es ist wieder so ein Fall von subtiler Ignoranz eines Unternehmens, das – in diesem Fall freiwillig – ein Thema zu seinem Geschäftsfeld gemacht hat, um das niemand es bat. Die Rede ist aktuell von Ubisoft und UPlay.
Letzteres ist zwar oberflächlich eine Online-Plattform, hintergründig aber ein Online-Kopierschutzmechanismus. Nun wurde festgestellt – Tavis Ormandy, ein Google-Sicherheitsingenieur tat dies -, dass die Service-Software eine immense Sicherheitslücke aufweist. Bevor man mir aber vorwirft, ich sei tendenziös, ergänze ich an dieser Stelle, dass Ubisoft die Lücke bereits geschlossen hat.
Es ist allerdings unbekannt, seit wann es diese Lücke gab, also ob sie jeder UPlay-Version seit Anbeginn inhärent war, und ob mit ihr irgendwelcher Schaden entstand. Die Berichterstattung über solche Dinge findet „in den Medien“ statt. Als Ubisoft-Kunde, der gegängelt wird, „always on“ sein zu müssen, damit ich ein Spiel spielen kann, das man sehr gut auch ohne Internet-Anschluss spielen könnte.
Trojaner-Feature?
Stein des Anstoßes jedenfalls ist die Möglichkeit gewesen, dass nicht nur Ubisofts Service UPlay selbst, sondern jede wildfremde Website, wenn sie gewusst hätte wie, Spiele auf dem Rechner des Benutzers hätte starten können. Denn UPlay installierte gleichzeitig ein Browserplugin, welches die Ausführung von Code erlaubte. Was sich amüsant anhört ist faktisch eine Fernsteuerung durch Fremde. Zudem ist bislang nicht bekannt, ob nicht auch andere Aktionen über die Sicherheitslücke hätten ausgeführt werden können, so dass am Ende sogar Schadcode hätte ausgeführt werden können. Laut diverse einschlägigen Webseiten soll dies durchaus der Fall gewesen sein.
In den Diskussionen um das Browserplugin wird argumentiert, dass es sich um ein sogenanntes Rootkit handele. Betroffen sind, respektive waren wohl diverse Assassin’s-Creed-Games, ebenso wie R.U.S.E., die Siedler 7 und einige andere.
Wichtig ist, dass Nutzer das Plugin sofort aktualisieren, damit sie nicht trotzdem noch Opfer eines Hacks werden, der nun online einsehbar ist. Zukünftig kann dann nur noch die Website Uplay, bzw. der Server hinter der Domain Code ausführen. Zumindest steht es so geschrieben. Ob Ubisoft auch den http-Referer irgendwie validiert über ein eigens ausgestelltes Zertifikat, oder ob nun jeder Depp einfach die Absender-Kennung fälschen muss, damit die Lücke wieder funktioniert, müssen wir abwarten.