Pemaju perisian perjudian bergerak untuk membetulkan kekurangan permainan poker

Sebuah pemaju perisian poker merancang untuk melaksanakan pembetulan minggu ini untuk kelemahan yang baru-baru ini ditemui oleh dua penyelidik keselamatan yang menganalisis salah satu aplikasi perjudiannya.

B3W Group, yang berpusat di Malta, berkata ia telah mengenalpasti masalah akar yang ditunjukkan dalam laporan yang dikeluarkan minggu lalu oleh Luigi Auriemma dan Donato Ferrante dari ReVuln, sebuah perundingan penyelidikan yang lemah yang berpusat di Malta.

B3W membuat pelbagai perisian perjudian, termasuk yang digunakan untuk poker dalam talian bilik, juga dikenali sebagai kulit, untuk variasi poker seperti Texas Hold'em, Omaha dan Stud. Banyak permainan poker memerlukan pengguna untuk memuat turun perisian ke komputer mereka, yang kemudian berinteraksi dengan perkhidmatan web untuk bermain game realistik, real-time.

[Bacaan lanjut: Cara menghapus malware dari PC Windows Anda]

Laporan ReVuln, yang juga melihat produk dari syarikat-syarikat Microgaming dan Playtech, memberi tumpuan kepada perisian poker sejak pelanggan yang dimuat turun membolehkan penyerang untuk melihat dengan baik sebahagian daripada reka bentuk perisian permainan.

AJ Thompson, pengarah strategi B3W, menulis dalam e-mel kepada Perkhidmatan Berita IDG bahawa pemain yang menggunakan perisiannya tidak digodam dalam 12 tahun beroperasi dalam talian. B3W mengambil "keselamatan pelanggan kami dengan sangat serius," tulisnya.

Para penyelidik mendapati bahawa perisian B3W mengemas kini dirinya sendiri melalui sambungan HTTP yang tidak selamat. Fail yang dikemas kini disimpan tanpa tandatangan digital, dan fail ".exe" tidak disahkan sebelum pemasangan. Mereka juga menemui masalah dengan bagaimana perisian B3W menyimpan kata laluan pada komputer seseorang.

Standard industri untuk mengedarkan pelanggan poker baru adalah melalui rangkaian penghantaran kandungan, tulis Thompson. B3W menggunakan CDN dari Fileburst.

Menggunakan sambungan selamat dengan Fileburst adalah mungkin, tetapi sijil keselamatan ditandatangani secara digital tidak sepadan dengan perisian yang dihantar, tulis Thomas. Tetapi, B3W telah menemui penyelesaian untuk memberikan kemas kini yang selamat.

"Oleh itu, kami memutuskan untuk memindahkan semua klien ke pusat data kami sendiri ke atas SSL [Secure Sockets Layer] menggunakan sijil yang ditandatangani oleh kod klien poker," dia menulis

Perubahan akan menghapuskan tiga isu yang digariskan oleh ReVuln, termasuk orang-orang di sekitar melaksanakan fail yang tidak disahkan, masalah transversal direktori dan penimbal berasaskan stack, Thompson menulis.

B3W belum memutuskan cara untuk menangani kata laluan yang disimpan oleh pelanggan poker. Kata laluan yang tidak disimpan oleh rantaian kunci kata laluan hanya boleh dikosongkan, dan untuk membuat kata laluan untuk kata laluan akan kurang mudah bagi pemain, tulis Thompson.

"Kami mempunyai pembina klien yang tidak membenarkan penjimatan kata laluan, dan kami sedang memperkenalkan pengenalan ini kepada pembangun pelanggan inti, "tulis Thompson.