La firma de ciberseguridad israelí Check Point ha señalado que, si se explota la vulnerabilidad, el ciberdelincuente puede acceder a la cuenta de un usuario y a su información personal, que le permitiría, entre otras cosas, comprar dinero virtual en el juego utilizando los datos de las tarjetas de pago de la víctima.
La vulnerabilidad afecta también a la privacidad, ya que el ciberdelincuente podría escuchar las conversaciones que se tienen dentro del juego, los sonidos y conversaciones de la casa de la víctima o del lugar donde se esté jugando.
Estas nuevas vulnerabilidades podrían haber sido explotadas sin que el jugador introduzca ningún dato de acceso, lo que diferencia estos ataques de los previos que eran de estafas en los que los ciberdelincuentes los engañaban para que se conectaran a sitios web falsos que prometían generar la moneda del juego.
Cómo atacan los ciberdelincuentes
Según los investigadores de la firma israelí, se han encontrado tres vulnerabilidades en la infraestructura web de Epic Games y han demostrado la vulnerabilidad en el proceso de autenticación basado en tokens, que se usa junto a sistemas Single Sign-On (SSO) como Facebook, Google y Xbox para robar credenciales de acceso del usuario y hacerse con la cuenta de la victima.
Para ello, el jugador sólo tiene que pinchar en un enlace de phishing creado a partir de un dominio de Epic Games, una fórmula que emplean para que todo parezca transparente. Una vez que se hace clic, el token de autenticación de Fortnite del usuario puede ser capturado por el intruso sin que el usuario tenga que introducir ninguna credencial de inicio de sesión.
"Estos fallos dan acceso a una vulneración de la privacidad a gran escala"
En este sentido, según los investigadores, la vulnerabilidad potencial se originió por los defectos encontrados en dos de los subdominios de Epic Games susceptibles a una redirección maliciosa que permitía que los tokens de autenticación legítima de los usuarios fueran interceptados por un ciberdelincuente del subdominio en cuestión.
"Fortnite es uno de los juegos más populares, sobre todo entre el público más joven, y estos fallos dan acceso a una vulneración de la privacidad a gran escala", ha advertido Oded Vanunu, jefe de investigación de vulnerabilidad de productos de Check Point. "Ésta, junto con las vulnerabilidades que hemos encontrado recientemente en las plataformas de drones DJI, son una muestra clara de lo susceptibles que son a los ataques e infecciones a las aplicaciones en la nube. Estas plataformas están en el punto de mira de los hackers debido a la gran cantidad de datos sensibles de clientes que contienen. La aplicación de la autenticación de dos factores podría mitigar la vulnerabilidad de esta toma de posesión de la cuenta", ha destacado Vanunu.