Plugin di Bukkit? Non sono più sicuri


BukkitDev, il famoso sito di condivisione di plugin, è sempre stato molto controllato, ma un post di un utente su Reddit ha minato questa sicurezza. L'utente è infatti riuscito a caricare e far approvare un codice potenzalmente dannoso sulla piattaforma.

Quando gran parte del team di BukkitDev ha lasciato il progetto, causa la disorganizzazione causata dall'arresto dello sviluppo e dalla notifica DMCA, la sorveglianza sui file caricati è stata molto allentata, perchè ai "professionisti" è subentrato lo staff di Forge, una organizzazione proprietaria o collaboratrice dei maggiori siti di videogiochi, che ha cercato di mantenere la continuità del servizio, pur non avendone le capacità.

Prima dell'abbandono del progetto, infatti, il codice veniva controllato minuziosamente dai parecchi membri dello staff ed erano necessarie parecchie ore, anche giorni, prima che un file venisse approvato. Durante questo tempo, il plugin veniva decompilato, controllato e quasi tutte le vulnerabilità venivano individuate e i file rifiutati. Lo staff Curse invece non sembra reggere la mole di file caricati al giorno, e si è ridotto ad un controllo superficiale, a volte nullo, dei plugin, con conseguente aumento delle vulnerabilità.

RocooTheRocoo ha creato un plugin che permetteva a chi possedeva un particolare permesso di creare dei piccoli script. Anche se questa funzione permetteva di creare script in grado di compromettere il sistema operativo o la macchina, a prima vista, il plugin non sembrava pericoloso perchè richiedeva dei permessi, e quindi lo staff di Curse ha appovato il file, caricato 4 volte di seguito per dare 4 possibilità di trovare la vulnerabilità, senza controllarne il codice. Se il responsabile del controllo avesse invece controllato il codice, avrebbe notato che una volta avviato il plugin caricava una classe esterna che si metteva in ascolto sulla chat. Se un utente inviava un determinato messaggio, riceveva silenziosamente l'OP, potendo quindi creare script dannosi per tutto il sistema.

Una cosa che ha messo in piena luce quando i controlli siano inefficienti è stato il fatto che il primo upload del file ha avuto dei problemi, e quindi l'utente ha chiesto aiuto allo staff, che di fatto ha caricato al suo posto il file dannoso. Terminato l'esperimento, l'autore del plugin ha segnalato i file, spiegando la vulnerabilità, ma il membro dello staff che ha preso in carico la segnalazione ha risposto di non aver trovato alcun codice maligno nel plugin.

Per saperne di più





Ti è piaciuto l'articolo? Allora segui Minecraft ITALIA su Facebook e Twitter per rimanere sempre aggiornato sulle ultime novità di questo gioco.
Informazioni su

Moderatore, programmatore ed essere umano. Scrivo su Minecraft ITALIA e sui social. Gioco a Minecraft dalla ormai lontana 1.4, sempre alla ricerca di notizie interessanti da pubblicare!