News 12.04.2013, 10:01 Uhr

Online-Poker-Clients oft ungeschützt

Sicherheit wird im Online-Poker wohl so gross geschrieben wie in den Saloons des Wilden Westens. Einem Sicherheits-Consultant zufolge sind Desktop-Poker-Applikationen oft nur ungenügend gesichert.
Luigi Auriemma und Donato Ferrante von ReVuln, einer Consulting-Unternehmung haben in einer Analyse Online-Poker-Software unter die Lupe genommen. Das Resultat: Die meisten Clients sind kaum geschützt. Ein einziger geknackter Client kann eine Vielzahl von Seiten betreffen, da diese oft dieselben Launcher, in einer neu gestalteten Form, verwenden.
Online-Poker unterscheidet sich durch Client-Software von anderen Arten von Online-Glücksspielen. Der Client bietet nicht nur einen Zusatznutzen für den User, sondern auch einen weiter Angriffsfläche für Angreifer. Eine attraktive Angriffsfläche, ist Clientsoftware doch der einzige Teil der Infrastruktur, der komplett vom Angreifer übernommen werden kann. Lokale Dateien können problemlos ausgewechselt und zum Beispiel mit Backdoor-Code angereichert werden. Der User wird so auf gefälschte Seiten umgeleitet, oder nach seinen Benutzerdaten ausspioniert.
Von Sicherheit keine Spur
Die meisten Online-Poker-Clients besitzen eine Auto-Update-Funktion, welche vor dem eigentlichen Programmstart ausgeführt wird. Laut ReVuln sind diese aber meistens unverschlüsselt und besitzen keine digitalen Signaturen. Software der Unternehmung B3W aus Malta, zum Beispiel, sendet Benutzername und Passwort unverschlüsselt auf ihre Server, verteilt unsignierte Updatepakete und verifiziert nicht einmal die .exe-Datei vor der Installation. Das lokal gespeicherte Passwort des Spielers ist zudem kaum verschlüsselt und leicht zu ergattern.
Auch bei anderen Anbietern stapeln sich die Sicherheitslücken. Software der Unternehmung Microgaming (verwendet von Unibet, Ladbrokes Poker) ist anfällig für Pufferüberlaufangriffe. Diejenige von Playtech (Titan Poker, William Hill Poker, Bet 365 Poker) verifiziert zwar die digitale Signatur für ausführbare Dateien und Dynamic Link Library (.dll) Dateien, alle anderen Dateien der Installation können aber frei verändert werden.
Beim Online-Pokern gilt es also nicht nur auf die Karten und das Budget, sondern auch auf die Software aufzupassen. Vor dem Gebrauch eines Poker-Clients sollte der Urheber der Software sowie der Anbieter der Pokerseite gründlich überprüft werden.


Kommentare

Es sind keine Kommentare vorhanden.