SAN CARLOS, Kalifornien (17.03.2023) –
Die Sicherheitsforscher von Check Point haben eine schwerwiegende Sicherheitslücke in der führenden Schach-Plattform entdeckt, durch die Teilnehmer sich den Sieg erschummeln konnten.
Die Sicherheitsforscher von Check Point Research (CPR), die Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, nahmen Chess.com unter die Lupe.
Ergebnisse der Forschung
Forscher von CPR beschlossen selbst zu prüfen, ob es Sicherheitslücken gibt. Sie wurden fündig:
Es ist möglich
1). Spiele zu gewinnen, indem man die Zugzeit des Gegners verkürzt und das Spiel durch eine Zeitüberschreitung des Gegners gewinnt.
2). erfolgreiche Schachzüge zu extrahieren, um Online-Puzzle-Herausforderungen zu lösen und einen hohe Puzzle-Wert zu erreichen. Außerdem ist es möglich, zu ändern, wie viel Zeit gebraucht wurde, um das Rätsel zu lösen.
Die perfideste Methode
Wenn zwei befreundete Konten eine Partie spielen, dann kann man dem Partner 15 Sekunden zusätzliche Zugzeit per Knopfdruck schenken. Dies kann ein Betrüger missbrauchen. Er fängt die Kommunikation mit dem Server ab und ändert die Anfrage in den Befehlszeilen so, dass dem Mitspieler Sekunden abgezogen werden.
So kann er dessen Zugzeit, zum Beispiel, auf 10 Sekunden verkürzen, was der Mitspieler kaum bemerkt, doch wenn diese abgelaufen ist, hat der Betrüger gewonnen. Alles, was er dafür tun muß, ist ein freundlicher Chat mit einem Nutzer, der dann eine Partie mit ihm eingeht und währenddessen, oder davor, die Freundschaftsanfrage akzeptiert, sowie das vermeintliche Zeitgeschenk annimmt.
Check Point hat die Ergebnisse dieser Untersuchung an Chess.com gemeldet. Die Sicherheitslücken wurden geschlossen.
Die vollständige Analyse wird im CPR-Blog ausführlich beschrieben.
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Kafka Kommunikation GmbH & Co. KG
info@kafka-kommunikation.de