研究人员发现在线扑克应用程序存在漏洞

据一家位于马耳他的安全公司称，对扑克应用的回顾表明，许多玩家存在安全漏洞，使玩家面临受到攻击的风险.ReVuln的Luigi Auriemma和Donato Ferrante是顾问公司开展漏洞研究，将他们的分析重点放在玩家为了游戏而下载的扑克客户端上。

软件客户端与所谓的“皮肤”进行交互，或者在游戏公司的网站上运行在线扑克室。 “一个软件中的漏洞可能影响多个皮肤和数百万玩家，”他们写道。[

] [进一步阅读：如何从Windows PC移除恶意软件]

在线扑克与其他类型的在线赌博不同，因为玩家必须下载软件客户端，这可以提高玩家的体验，并通过自定义协议提供实时数据。“

”从外部攻击者的角度来看，客户端软件很有趣，因为它是基础架构中唯一完全分析的部分“Auriemma和Ferrante写道，”大多数在线扑克客户端都包含一个软件更新功能，这是在应用程序启动时执行的第一个操作。但研究人员发现更新没有使用安全套接字层（SSL）加密或数字签名。即使更新已签署，他们仍发现在某些情况下仍有可能接管对个人计算机的控制。

尽管一些公司已转向使用两个帐户，但游戏软件通常只需要用户名和密码即可访问帐户因子认证。研究人员指出，游戏公司PokerStars确实使用RSA令牌和密码来提高其软件客户端的安全性，但其他软件程序允许游戏玩家将密码保存在他们的计算机上，尽管这样做的方式可能不会“他们写道：”对马耳他B3W集团开发的扑克软件的分析发现，它通过不安全的HTTP连接更新软件。这些更新没有数字签名存储，“.exe”文件在安装之前未经过验证，他们写道。

由Microgaming制作的基于Isle of Man的软件用于由包括Unibet和Ladbrokes Poker在内的游戏公司运营的扑克皮肤，该软件容易受到缓冲区溢出“Auriemma和Ferrante写道，”提供Titan Poker，William Hill Poker和Bet365 Poker使用的扑克软件的Playtech确实对动态链接库和可执行文件的数字签名进行了验证，他们写道。但是它安装的所有其他文件都可以修改，这可能允许攻击者将播放器重定向到恶意网站。无法立即联系到软件公司发表评论。