Falha de segurança permitia roubo de contas do game Free Fire

Por Felipe Demartini | 19 de Outubro de 2020 às 16h50
Garena

Uma grave falha de segurança atingia Free Fire, um dos principais games mobile da atualidade. Por meio da exploração, era possível acessar e controlar perfis de terceiros, comprar diamantes e utilizar a moeda virtual do título na própria conta ou enviar presentes para terceiros, tudo sem a anuência do responsável por ela. Bastava, apenas, que tanto o atacante quanto sua vítima estivessem logados em uma mesma rede sem fio.

O caso foi revelado pelo hacker ético Gabriel Pato, que em seu canal no YouTube, exibiu detalhes de como a falha funcionava. Na demonstração, ele foi capaz de manipular o saldo de diamantes de duas contas no game a partir de um computador conectado ao mesmo Wi-Fi que os dois smartphones que simulavam as vítimas, com a brecha estando disponível tanto no sistema operacional Android quanto no iOS.

A partir de um programa responsável por explorar a vulnerabilidade, o especialista era capaz de detectar logins em Free Fire que aconteciam na rede e roubar tokens de acesso às contas. Com isso, poderia ter acesso completo aos perfis em sua própria máquina, ultrapassando até mesmo ferramentas de segurança como a autenticação em duas etapas. Nenhum tipo de verificação adicional era necessária, com as contas envolvidas na falha não precisando nem mesmo serem amigas ou terem jogado juntas em algum momento.

O problema, segundo Pato, estava na ausência de criptografia na transmissão de dados entre o cliente do jogo e alguns servidores específicos usados por Free Fire para registrar telemetria e algumas ações do jogador relacionadas à loja ou partidas. Até mesmo logins realizados pelo Facebook ou tokens de terceiros poderiam ser interceptados por um terceiro malicioso nessa comunicação, enquanto outras infraestruturas do título, voltadas para chats ou início de jogos, porém, não permitiam a interceptação de dados.

De acordo com os testes do hacker ético, a vítima somente perceberia uma intrusão ao notar que seu saldo de diamantes foi reduzido ou que itens foram adquiridos ou modificados em seu perfil. Toda a exploração poderia acontecer até mesmo com o usuário logado na conta, sem que nenhum aviso ou indicação de que um segundo login foi realizado aparecendo na tela. Segundo Pato, o acesso aos perfis das vítimas era total e irrestrito durante 12 horas, tempo de validade do token interceptado na rede. Depois, bastaria a um atacante repetir o processo para obter um novo e permanecer explorando a brecha.

O especialista também chama atenção para a versatilidade da vulnerabilidade, que pode ser ativada a partir de um celular, e para os perigos que ela representava. A popularidade de Free Fire, ao lado da necessidade de conexão, apenas, a um Wi-Fi, permitia que a brecha fosse aproveitada por golpistas em redes sem fio públicas de locais de grande circulação, incluindo, até mesmo, eventos de jogos ou do próprio game de tiro.

A falha foi reportada no dia 21 de agosto, com a resolução do problema sendo aplicada cerca de um mês depois, em um patch de Free Fire publicado no dia 23 de setembro. Em contato com o Canaltech, a Garena, que desenvolve o título, confirmou a correção do problema e não fez mais comentários sobre o assunto. Não se sabe, por exemplo, por quanto tempo a vulnerabilidade ficou disponível nem se ela chegou a ser explorada por terceiros de forma maliciosa.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.