Clarksoft

Clarksoft

Investigador de seguridad | Hacker de capa189

Friday Night Funkin’. ¿Puede presentar un problema de seguridad?

Se ha puesto muy de moda un juego de ritmo, derivado de Dance Dance Revolution.

Friday Night Funkin’ El juego

Se trata de presionar la tecla correcta en el momento correcto al ritmo de una canción mientras se avanza en aventuras de los protagonistas.

El personaje principal, Boyfriend (Novio), quiere salir con Girlfriend (Novia), pero su padre, Daddy Dearest (quien es una ex estrella de rock) no quiere que salga con ella, por lo que Boyfriend tiene que rapear para probar que es digno.”

wikipedia

Pero ¿qué hace un investigador de seguridad escribiendo sobre un juego?. En realidad yo sólo ayudé a redactarlo, dado que es una investigación de mi hija Sofía, que al avanzar en el juego y sus opciones fue descubriendo peligros potenciales que quiso compartir conmigo y al mismo tiempo investigarlos.

El juego tiene tres modalidades, las más conocidas, a saber:

  1. Jugarlo bajo la plataforma Roblox

  2. Jugarlo via web en páginas que ofrecen una variedad muy ampia de versiones modificadas del juego donde se le cambia la historia, las canciones, la dificultad y la jugabilidad.

  3. Finalmente el más interesante, es posible jugarlo en el propio sistema operativo, via descargar el programa y jugarlo directamente.

Esta última opción permite a los más avanzados y curiosos, internarse en las fuentes del programa y modificarlo dado que los creadores del juego así lo diseñaron, es decir, lo inventaron teniendo en mente permitirle a la comunidad del juego poder modificarlo y generar versiones novedosas basadas en la misma plataforma.

Y allí fue donde radicó la investigación.

En resumen se descubrió que es posible agregar comandos tanto dentro del juego como fuera de él, permitiendo a un sujeto malintencionado, ejecutar código de forma maligna.

Descargas

La web de referencia para encontrar el mejor contenido para Friday Night Funkin’ es GameBanana

Y si lo vemos en la segunda página más polular: Fnfunkin

Donde se observa que sus mods están almacenados en servidores de Google.

A google no le es posible revisar la integridad del programa dado que el empaquetado es muy grande. Por lo que simplemente ofrece una advertencia, pero permite su descarga sin mayor objeción.

Análisis de los archivos

El mod que particularmente llamó la atención de mi hija fue uno que al terminar todos los desafíos, al finalizar los créditos, levanta un navegador que te lleva al famoso RickRolling de youtube.

Es por eso que revisamos juntos el contenido de cada archivo para encontrar donde estaba esa función, y daba la coincidencia que el llamado a la página de youtube está justamente en el ejecutable principal.

$ grep -ra dQw4w9WgXcQ . | strings | tail -10
vortmite charted all these songs
https://twitter.com/vortmite1
rickroll
https://www.youtube.com/watch?v=dQw4w9WgXcQ
visitedCredits
credits/bg
credits/
credits/e
Placeholder
scale.x

De esta forma es posible entender que es posible injectar una url para que el juego cargue una página a discreción una vez se pasan todas las etapas.

Esto es un paraiso para el pirata informático que sin mucho conocimiento experto puede explotar esta situación.

Esto ya puede realizarse por medio de una edición hexadecimal o directamente sobre el código fuente:

Código Fuente del Juego

Allí se explica cómo descargarlo, editarlo y volver a compilarlo con una versión personalizada.

Método sencillo (a modo de Prueba de concepto)

Cambiar ese string por otro, como _IbWY-rwELA

hacked

Método más maligno

Directamente reemplazar la ruta completa y cargar un payload malicioso.

imagen con una ruta sospechosa o haciendo una reverse shell

En esta imagen vemos como es llevada a cabo una reverse shell exitosa. Una ReverseShell es la comunicación desde el equipo víctima hacia el atacante, otorgándole la posibilidad de ejecutar comandos en nuestro computador, de tal forma que el pueda explotarlo y apoderarse de nuestra información y cuentas.

En esa situación, el juego ha terminado.

Sugerencia.

No basta con que el proveedor de descarga sea de confianza, si no además es necesario tomar las medidas para que el computador no esté expuesto, como teniendo al día sus parches de seguridad y el antivirus.

No probando mods demasiado recientes, dándole tiempo a la misma comunidad a revisar su potencial.

Conclusión

El peligro en la internet está es todos lados, desde sitios muy conocidos como Facebook, hasta juegos underground. No es tiempo de descuidarse.

La descarga de juegos desde internet demanda al menos un grado medio de conocimientos de seguridad. Un equipo preparado para conectarse a internet necesita:

  • Actualización del sistema operativo
  • Antivirus instalado, operativo y actualizado
  • No visitar sitios poco respetables en el ámbito de seguridad
  • Evitar la deepweb
  • Evitar crackear juegos o descargarlos crackeados
  • Desconfiar de ofertas demasiado fantásticas.

Finalemente, siempre es buena recomendación consultar con su informático de confianza sobre temas que tenga dudas.