Eine zehn Jahre alte Hackerin mit dem Pseudonym CyFi hat auf der Konferenz DefCon einen Zero-Day-Exploit für iOS- und Android -Spiele vorgestellt. Unabhängige Sicherheitsforscher haben bereits bestätigt, dass es sich um eine neue Klasse von Anfälligkeiten handelt. Das Mädchen aus Kalifornien hatte die Lücke in den Farm-Spielen im Januar entdeckt.
„Es dauerte ewig, in dem Spiel voranzukommen, weil alles so langsam wächst. Deshalb dachte ich, ‚Hey, warum verändere ich nicht einfach die Zeit?'“, sagte CyFi im Gespräch mit ZDNet . Die meisten der Spiele, für die der Exploit funktioniert, haben zeitabhängige Faktoren. Beispielsweise dauert es zehn Stunden in Echzeit, bis eine Maispflanze reif ist. Indem CyFi die Zeiteinstellung des Smartphones oder Tablets veränderte, zwang sie das Spiel vorwärts und stieß so auf die Sicherheitslücke.
Welche Spiele von der Schwachstelle betroffen sind, hat CyFi noch nicht bekannt gegeben – sie will den Herstellern Zeit geben, sich zu äußern. Zwar verfügten einige der Spiele über einen Mechanismus, der solche Manipulationen entdecke und blockiere, sie habe aber dennoch eine Reihe von Wegen gefunden, diese Detektoren zu umgehen, erklärte die Nachwuchs-Hackerin. Das Gerät von einem WLAN-Netz zu trennen oder inkrementelle Anpassungen der Uhr machten es für die Spiele demnach schwieriger, die Manipulation zu erkennen.
CyFi gehört zu den Gründern von DefCon Kids , das dieses Jahr erstmalig stattfand – als Teil der Hackerkonferenz DefCon.