PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sicherheitsproblem bei Slitherine's PBEM-System?



Arminius
23.05.18, 15:21
Werte Regenten,

bei Unserem Vorstoß durch die Weiten des Internets sind Wir beim Spiel Warhammer 40.000: Sanctus Reach auf folgenden, eventuell Besorgnis erregenden Hinweis bei Dampf gestoßen:


Info zu Warhammer 40,000: Sanctus Reach von Slitherine Ltd.
Diese Review/Produktübersicht beschäftigt sich mit dem technischen Aspekt der katastrophalen Datenerhebung innerhalb des genannten Titels.

--

WÃhrend der Laufzeit von Warhammer 40,000: Sanctus Reach sind diverse Dienste im Hintergrund aktiv. Einige werden benötigt um den vollen Funktionsumfang des Spiels zu garantieren, andere Dienste betreffen Game-Analytics die Infos zu Hard und Softwaredaten der Nutzer weitergeben. Ebenso werden aufgenommene Registrierungs/Logindaten im Klartext übermittelt. Anhand vom Ablauf nun im Detail erklärt.

Auf gehts
Als neuer Besitzer eines frisch installierten Spiels aus dem Warhammer-Universum habe ich mit voller Vorfreude auf "Spielen" gedrückt. Es öffnet sich als erstes ein Launcher, der vollgepackt ist mit externen Links (Werbung) und im Hintergrund schon fleißig Daten vom Nutzer aufnimmt.

Die dafür zuständigen Adressen im Launcher lauten:

www.google-analytics.com
www.matrixgames.com


Google Analytics nimmt vom Spieler folgende Daten auf:
Der Reihe nach SDK Version, Zufallszahl um Google Analytics mit Adsense zu verbinden, Deklaration des Usertrackings... in dem Fall Pageview, Treffersequenz, Zugehörigkeit "Webseite/Launcher/Steam/SpielID", Spracheinstellungen, verwendetes Betriebssystem, Name der Applikation, Tiefe der Auflösung, verwendete Auflösung, Viewportgröße (sichtbarer Bereich), Java an/aus, Flashversion, Google Analytics-Verifikationscode und damit verbundene ID um Analytics an Doubleclick zu binden, eine generierte NutzerID und ein paar andere Dinge.

Es handelt sich hier größtenteils um technische Details aber auch Nutzereinstellungen/Systemdaten...

Die dazugehörige Google AnalyticsID lautet: UA-44212718-3 und wird ageod.co.uk, ageod.com und ageod-forum.com zugeordnet

Matrixgames im Einzelnen:
Die zweite kontaktierte Adresse nimmt die GameID, Seriennummer auf und beinhaltet zudem Daten für die CSS Formatierung des Launchers. Inklusiv Grafiken

---

Aber genug vom Launcher, wollen ja auch etwas vom Spiel sehen ;] Deswegen wurde der Titel schließlich ursprünglich gekauft... Also denn, fix der Playbutton gedrückt.

Kurze Wartezeit. Nach dem Intro werden im Hauptmenü weitere Adressen aufgerufen. Je nach Art der Zuständigkeit ändern sich die Pfade logischerweise. Hier sind nur ein paar Beispiele genannt.

pbem2.slitherine.com
Überträgt Clientversion, Zeitstempel, EnableKickPlayerSeconds, Errorcode usw, Muiltiplayerlogin...
http://pbem2.slitherine.com/PBEM2/sanctus/info.php

usercontent.slitherine.com
Beinhaltet Beschreibungen der Usergenerierten Inhalte
Vollständige URL: http://usercontent.slitherine.com/sanctus/list.txt

www.slitherine.com
Metrics mit Seriennummer und diversen Spielangaben, Serverliste
Vollständige URL: http://www.slitherine.com/games_exchange/sanctus/metrics.php?
gefolgt von Parametern

Außer der Metrics in diesem Abschnitt soweit im Großen und Ganzen ok da diese Abfragen diverse (optionale) Funktionen unterstützen...

---

Multiplayer | Klartextdaten
Vom Hauptmenü ab in den Multiplayer. Hier wird es interessanter. Dort erwartet einen erstmal ein Loginfeld, bzw. ein Feld zur Registrierung. Im Test habe ich irgendeinen Namen und Passwort für den Login eingegeben und geschaut, was passiert. Heraus kam Folgendes:

HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Thu, 01 Mar 2018 01:16:45 GMT
Content-Type: text/plain;; charset=UTF-8
Content-Length: 104
Connection: keep-alive
X-Powered-By: PHP/5.3.3

GET http://pbem2.slitherine.com/PBEM2/sanctus/auth_steam.php?login=Pengin&password=ganztollespw11&serialNum=new HTTP/1.1
User-Agent: SlithMPOpen
Host: pbem2.slitherine.com

{"ErrorCode":"8","ScriptLine":334,"ScriptName":"auth_steam.php","ErrorComment":"Login isn't correct"}

Geforderte Logindaten wie es an den Ãœbergabeparameter zu sehen ist, sind unverschlüsselt ^^ Der Login war natürlich nicht korrekt. Fragt sich da nur, warum ingame Passwörter mit Asterisks unkenntlich gemacht werden, wenn die sowieso lesbar sind.

Auch die Registrierung läuft im Klartext ab

HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Thu, 01 Mar 2018 01:23:28 GMT
Content-Type: text/plain;; charset=UTF-8
Content-Length: 3
Connection: keep-alive

GET http://pbem2.slitherine.com/PBEM2/sanctus/register_steam.php?login=xxxxxx&password=xxxxxx&email=xxxxxx@xxxxxx.de HTTP/1.1
User-Agent: SlithMPOpen
Host: pbem2.slitherine.com

Auch hier sind Nutzername, Passwort und E-Mail in der Übergabe ohne weiteres lesbar. Diesmal im Beispiel natürlich ausgext von mir weil ich nicht möchte, dass selbst Testdaten öffentlich sind ;]

---

Nach diesem Spielerlebnis nun Abstand vom Multiplayer genommen und als nächstes die Kampange gestartet. Dort erwartet einen wieder die Metrics, die von der genannten slitherine Adresse aufgerufen wird.

Ergo schon gar keine Lust mehr, mich mit diesem Titel weiter zu beschäftigen

---

[Update vom 04.03.2018]
Wie vermutet wurde bei anderen überprüften Spielen dieser Firma z.b. "Warhammer 40,000: Armageddon" genau dasselbe Verhalten bezüglich Logindaten beobachtet

Quelle: https://steamcommunity.com/id/pen-chan/recommended/502370/


Weiß jemand der geschätzten Regenten, ob das stimmt, was dort bei Dampf behauptet und eventuell kolportiert wird?

Mr_Rossi
23.05.18, 21:35
Das Problem sah ich auch bei Paradox,

dort hieß es mal x% der Spieler spielen das Reich in Spielstufe leicht....

Steam scheint also bei mehreren Spielen mit den Usern zu telefonieren

Unverschämt, evtl ändert das geänderte Datenschutzzeug ja etwas