19:53
4/4/2014

Dzieci lubią grać. Rodzice nie lubią jak dzieci grają, zwłaszcza na ich Xboksach. Dlatego nie dzielą się z dziećmi hasłami do swoich kont dostępowych do konsoli. To z kolei drażni dzieci — niektóre do tego stopnia, że próbują swoich sił w walce z zabezpieczeniami. I w ten oto sposób jednemu z pięciolatków udało się obejść ekran logowania do konsoli Xbox.

Na czym polegał atak?

5 letni Kristoffer Von Hassel odkrył, że po błędnie wprowadzonym haśle na ekranie logowania pojawia się drugi ekran, proszący o ponowne podanie hasła — i jeśli na tym drugim ekranie wpisze się hasło jako same spacje, to …uzyska się dostęp do konta na Xboksie, niezależnie od tego jakie było do niego hasło.

Ekran logowania do Xbox

Ekran logowania do Xbox

Problem zapewne wynikał z tego, że wpisanie spacji spowodowało błąd w ekranie autoryzacji i jego crash — a to z kolei odsłoniło dostęp do konta. Najprawdopodobniej już po wpisaniu loginu oprogramowanie Xboksa ładuje wszystkie kontrolki konta użytkownika i tylko tymczasowo “przykrywa” je odpowiednią planszą, której usunięcie jest możliwe po podaniu hasła (coś jak wygaszacz ekranu na hasło) …albo crashu ;)

Błąd został zgłoszony do Microsoftu przez ojca, który okazał się być “z branży”. W nagrodę dziecko otrzymało 4 gry (o wartości ok 150 PLN) oraz roczną subskrybcję Xbox Live. Został też dodany do listy badaczy bezpieczeństwa, którzy zidentyfikowali błędy w produktach Microsoftu.

Komentarz pięciolatka?

I was like yea!

…oraz

“bałem się, że tata się dowie

Ta historia to chyba kolejny przykład na to, że gry komputerowe rozwijają ;)

Za informację dziękujemy Michałowi Jaskólskiemu z Morizonu :)

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

57 komentarzy

Dodaj komentarz
  1. jakim cudem unit testy tego nie pokryly?

    • Wyobrażasz sobie pokrywanie każdego pojebanego caseu wpisanego do okienka unit testem? xD

    • bo unit testy sprawdzają czy coś coś działa, a nie czy coś nie działa :D

    • Po co testować co z założenia źle działa?
      “Najprawdopodobniej już po wpisaniu loginu oprogramowanie Xboksa ładuje wszystkie kontrolki konta użytkownika i tylko tymczasowo “przykrywa” je odpowiednią planszą, której usunięcie jest możliwe po podaniu hasła”
      – takie security vulnerability by design ;)

    • Alex, chyba nie wiesz jak działają testy jednostkowe.

    • Unit testy zapobiegają regresji, a nie wykrywają cokolwiek. Chyba, że miałeś na myśli jednostki testujące ;-).

    • To być może jest feature, a nie bug – pozostałość po wersji developerskiej.

      Przy testach spotykałem się z podobnymi przypadkami. Na przykład testując “odbiornik” płatnej telewizji. Była to droga na skróty. Furtka, która pozwalała w procesie programowania i testów logować się do każdej maszyny nie znając oryginalnego hasła. Wpisując jedynki można było uzyskać dostęp do konta użytkownika. Dzięki temu można było sprawdzać jak działają urządzenia obsługiwane przez beta testerów, bez ingerencji, ani proszenia ich o hasło.

      Aż dziw bierze w ilu urządzeniach zapomina się potem o usunięciu takiej funkcjonalności przed wprowadzeniem produktu na rynek.

      Poza tym, jak już ktoś zauważył, to nie jest rola unit testów.

    • @axe_tester

      To zjawisko tak stare jak Konami Code.

    • Khm… w Polsce unit testy to coś co piszą programiści jako “kod testujący własny kod” często przy użyciu dedykowanych narzędzi.
      Na świecie unit test to po prostu test komponentowy (choc zależy, który standard pytać o zdanie ;) – niekoniecznie automatyczny.

  2. 4 letnie dziecko zostało dodane do listy badaczy bezpieczeństwa? Bo przypadkowo odkryło błąd? Bez sensu, ale może na tym polega “jajo”.
    W naszej firmie nie zrobilibyśmy czegoś takiego.

    Pozdrawiamy,
    NSA Polska, sp. z.o.o.

    • AVE…

      Evil Overlord List:
      12. One of my advisors will be an average five-year-old child. Any flaws in my plan that he is able to spot will be corrected before implementation.
      60. My five-year-old child advisor will also be asked to decipher any code I am thinking of using. If he breaks the code in under 30 seconds, it will not be used. Note: this also applies to passwords.
      No i wszystko jasne…

    • Co w tym zlego, niech dzieciak sie cieszy.

    • Uznalbym to raczej za forme nagrody wyrozenia i tyle. Nie doszukiwalbym sie tu czegos glebszego…

    • Sens jest w tym że właśnie przeczytałeś kolejny raz o xbox, a pod koniec dnia – there is no bad publicity

    • Bo jesteście drętwi. Jak się da d**y to trzeba jakoś z tego się wykaraskać… Próbują to obrócić w żart i podkreślają swoją bliskość z użytkownikiem.

  3. Oooo… skubany kto by pomyślał że takie dziecko w tym wieku złamie zabezpieczenia. Zastanawiam się co ten młody zrobi za kilka lub kilkanaście lat.

    • Nic? To tylko dziecko. Przypadkiem wpisało hasło i zostało okrzyknięte kimś przez przypadek. Nie widzę w nim nic nadzwyczajnego.

  4. No szczerze mowiac to nie wiem jak bardzo trzeba spartolic kod zeby cos takiego przeszlo.

    • Zdarza się i w małych firmach i w wielkich korporacjach. Programista też człowiek… chyba :P

    • ja kiedyś w PHP zamiast
      IF $haslo == ‘wytrych’;
      wpisałem
      IF $haslo = ‘wytrych’;
      Żaden walidator tego nie ugryzie…

    • Jeżeli walidator nie zgłosi podejrzenia, że w konstrukcji if zamiast porównania jest przypisanie – to bardzo słaby walidator

  5. Młody za dużo w Deus Exa grał na ojca koncie :)

  6. ciekawe czemu to przechodzi, “code or didn’t happen”! :D

  7. Good job kid!
    Ja jak miałem 7 lat to nauczyłem się spinaczem do włosów montować kieszeń hdd.

    tru story.

  8. Jakiś Cloudflare przy wchodzeniu na waszą stronę domaga się wpisania captcha

  9. Wielkie halo o nic. Ot, młodemu się poszczęściło, małymiękki po raz kolejny zaliczył faila, life goes on ;)

  10. Dzieciak ma radochę że dostał gry za przypuszczalnie przypadkowe odkrycie luki.
    przecież on na pewno nie szukał luki tylko miał farta i w logował się na konto ojca :D
    Microsoft dodał go do listy badaczy i w sumie to jest bez sensu racja ale też nie rozumiany jest wylew z dupy komentującego “NSA” starczy trzeba było spacjować to też byś się tam znalazł :D ba dostał byś four game i był byś happy przez all your live D:

    • To nie był żaden wylew z dupy, nie wyczuliście sarkazmu. Zwyczajnie powiedziałem, że to bez sensu.
      Nagroda, ok, ale dopisywanie do tej listy, to kompletny bezsens.

  11. Ale sknerusy. Taka nagroda z ich strony to psucie sobie wizerunku.

  12. syjon doczekal sie. oto wybraniec!

    Neo przybywaj! :D

  13. Atak von Hassela? Nieźle brzmi.

  14. O jakie logowanie chodzi? Mam xbox i nie wiem gdzie to sprawdzić.

    • Chyba o logowanie do konta live jak masz kilka ustawionych/włączoną blokadę.

    • Jeżeli masz XBOX 360 to raczej nie zadziała. Na zdjęciu jest ekran logowania XBOX One.

  15. Znalazł bug’a i w nagrodę dostał ….. kolejne materiały do pracy. Well done kid!Try this :-)

  16. To juz dziecku nie wystarczy powiedziec ‘nie’ tylko trzeba zakladac haslo na swoje konto? :)

    • To kiedykolwiek wystarczyło powiedzieć dziecku nie? :)

    • Zależy jak kto swoje wychował.

  17. Nieświadomie logowałem się nie przy pomocy zwojego chasła a przy pomocy błędu w oprogramowaniu. Kilkukrotnie zdawało mi się, że wprowadziłem zbyt dużo lub zbyt mało spacji… A tu taka niespodzianka.

  18. Mój złośliwy komentarz. Dobrze, że wysłali gry a nie oddział SWAT za naruszenie zabezpieczeń (prawa autorskiego).

  19. Ja ostatnio odkryłem bug-a w iPhonie pozwalającego ominąć aktywacje przez iCloud ;)

    • Podziel się. Odpłacę sposobem jak zainstalować Androida na srajfonie.

  20. 4 gierki i 150 dolców. Ciekawe za ile poszedł by ten błąd na “czarnym rynku”.

    • Podejrzewam, że ta tyle samo, tylko w cukierkach…

  21. Błąd zerżnięty z przełączania użytkowników w Windowsach: Vista, 7 i 8.
    Od lat korzystam z tego exploita.

  22. Normalny Space hacker. :-)

  23. No nie wiem czy taki szczęściarz, dostał 4 gry ale pewnie będą na koncie ojca zabezpieczone hasłem, którego po fixie już tak łatwo nie odblokuje … wg mnie dla niego fail, bo teraz będzie musiał czekać do lat 18 …

  24. Mój syn, trochę starszy (13 lat) też obchodzi blokadę rodzicielską, tym razem na Windows 8/8.1 tzw family safety, robi to tak: podłącza urządzenie usb, w jego przypadku telefon z androidem, byc może wchodzi na dysk który się pojawia (muszę dopytać), wtedy gdy family safety mówi że upłynął czas i można go rozszerzyć (za zgodą admina) lub wyłączyć komputer daje wyłącz, wtedy windows zaczyna się składać i w pewnym momencie mówi że jest zasób w użyciu czy zforsować i zamknąć, on wybiera cancel i po blokadzie, dostaje pulpit i może siedzieć do której chce

    pozdrawiam ;-)

    • Coś podobnego robiłem kilka lat temu na Windows XP, kiedym dzieckiem był.Tam takie bajery nie były w system wbudowane, ale dało się zainstalować coś od firm trzecich. Nazywało się “Parent’s friend” czy podobnie. Po 1.5 godziny używania komputera, ten soft starał się go wyłączyć. Jednak jeśli miało się odpalony program, który przy wyłączaniu systemu pyta o coś w stylu “Czy chcesz zapisać plik…” to zabezpieczenie było obchodzone. Taki hacker ze mnie był :)

  25. Czy między 5, a letni nie powinno być przypadkiem myślnika? Dziwnie się to czyta ze spacją (hakujecie xboxy tym artykułem?).
    Poza tym mowa o xboxie 360 czy one?

    • Sądząc po designiu ekranu wygląda na kafelkowy xbone. Ale warto i na 360 spróbować.

  26. Hm… W Xboxie 360 jest to, w podobnej formie i jakoś się nikt nie przejmuje….

  27. […] dni temu pisaliśmy o 5-latku, który zhackował Xboksa spacją… Okazuje się, że podobny problem miał Linuks, ale nie ze spacją, a z enterem […]

    • NIe linux, tylko Ubuntu. To raptem jedna z dystrybucji, najgorsza IMHO.

  28. […] skrócie, błąd jest podoby do hackowania Xboksa spacją, wystarczy wejście na ten link […]

  29. No gratulacje… Aż strach pomyśleć, co będzie potrafił jak skończy 15 lat :)

  30. W win 95 albo 98 haslo obchodzilo sie esc.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: