Paura e delirio in Rete per la scoperta di una pericolosa falla nella sicurezza di Uplay, la piattaforma online a cui gli acquirenti dei videogiochi marchiati Ubisoft sono obbligati a collegarsi – che lo vogliano o meno – da qualche anno a questa parte. La falla c’è ma è esterna a Uplay, ammette la corporation che si muove velocemente per risolvere il problema.
Individuata da un ingegnere di Google, la falla coinvolge un plug-in per browser installato assieme a Uplay, componente la cui esistenza era sin qui ignota. Visitando una pagina web contenente un particolare codice JavaScript su un browser “infetto” dal plug-in di Uplay, spiega l’ingegnere, sarebbe possibile lanciare ogni genere di eseguibile indipendentemente dal gioco e da Uplay stessa.
A peggiorare ulteriormente la situazione è la disponibilità di un proof-of-concept in grado di sfruttare la falla, progettato per aprire la Calcolatrice di Windows sui sistemi vulnerabili. Neanche a dirlo, la notizia dell’esistenza della vulnerabilità ha fatto presto il giro della Rete e Ubisoft è stata accusata di installare un vero e proprio rootkit all’interno dei PC dei suoi utenti.
Ma tra un consiglio e l’altro su come neutralizzare la falla – disabilitando il plug-in incriminato su Firefox, Chrome oppure Opera – questa volta Ubisoft si è mossa in fretta e ha subito distribuito una patch in grado di modificare il funzionamento di Uplay.
La corporation statunitense nega di aver mai installato un rootkit assieme a Uplay, spiegando che il plug-in è un componente accessorio della piattaforma e l’esistenza della falla è il risultato di un semplice “errore di programmazione”. E per quanto riguarda le – prevedibili – critiche all’inaffidabilità e dannosità della sua infrastruttura DRM, Ubisoft dice che il baco non ha nulla a che vedere con la protezione anticopia dei suoi giochi ma è piuttosto un incidente collegato alla piattaforma Uplay nel suo complesso.
Alfonso Maruccia