Oskarovi hackli IQ Test!

Pouhé tři dny stačily k tomu, aby Oskarova nová hra IQ Test byla prolomena. Chcete taky vyhrát Nokii 8310? Řekněte, kolik potřebujete bodů, a dostanete je.
Oskarovi hackli IQ Test!

Oskar ve čtvrtek spustil letní akci Oskarneval, jejíž součástí byla také vědomostní hra IQ Test. Pro Oskara ji připravila americká společnost Symblaze, která je v odborných kruzích poměrně známá a mezi její klienty patří například také Walt Disney Company, Universal Pictures a podle náznaků také Microsoft.

Už při spuštění IQ Testu se v diskusích objevovaly příspěvky o podezřeních na různé podvůdky a bezpečnostní díry, kterým jsem ale nepřikládal váhu, nevěřil jim (a některým dosud nevěřím). Včera se však v diskusi u článku s tipy pro efektivní hraní objevily konkrétní informace a důkazy, že v IQ Testu lze nastavit jakékoli skóre, které vás napadne.

Václav Klaus vyhrál IQ Test

Začalo to otázkou, jaké je vlastně nejvyšší možné skóre v IQ Testu. Snadno jsem spočítal a do diskuse napsal, že 3 105 000 bodů. V takovém případě by ale člověk musel odpovědět na všechny otázky do prvního odtiknutí časoměřiče a ještě chytit všechny létající objekty. To není reálné.

Za chvíli se ale v diskusi objevil příspěvek čtenáře s přezdívkou „cz“:

ok :) kdyz rikate 3 105 000, tak 3 105 000 .. mate to tam :) ... ODS vyhrava :)

A taky, že to tam bylo. V žebříčku Ostatní se na prvním místě s 3 105 000 body ocitl Václav Klaus.

Dělali to amatéři

Nad tím se už opravdu nedalo mávnou rukou. Dotyčného jsem proto oslovil a získal konkrétní informace, jak se mu podařilo hru ošálit:

Klidne vam sdelim cely postup, jak to udelat .. prakticky se nejedna o nic sloziteho - ba primo je to silne lamersky naprogramovany.

Kamosi se o to pokouseli pres ten flash [dekompilovat, upravit, zkompilovat, spustit], ale nejak se jim to nepovedlo :) Ja se na to vrhnul pres HTTP, takze sem i odposlech komunikaci mezi serverem a flashem (clientem) .. tam sem zjistil v jakym poradi to probiha, co znamenaji jednotlive promenne (napr. score=xxxx ;]) a ze to vubec neni nijak kodovany.

Zakladni motto je, ze KAZDY FLASH jde zmanipulovat .. takze i kdyby se to oskar pokusil opravit, tak maximalne to ztizi .. ale casem se to taky povede .. ;) pokud na to bude mit nekdo naladu a chut ... ja ji vlastne mel diky vasemu clanku ;))

O __hackovani__ flashe se zabyval nejaky clanek na underground.cz, nicmene tohle neni uprava flashe, ale proste odeslani vysledku pres HTTP/1.1 o neco drive nez to udela flash.

Pokud byste chtel podrobne informace (kde co jak najit, upravit, odeslat, atd.), klidne vam to popisu .. ;)

Skóre s trojkou na konci

Tyto informace vypadaly velmi věrohodně, přesně tady mohla být bezpečnostní díra. Pořád však není stoprocentně jisté, že jde o hack, proto pana „cz“ žádám, aby na první místa v žebříčku umístil skóre, které nekončí na tři nuly. Až to bude skutečně nezpochybnitelným důkazem, protože ve hře, kde body přirůstají po tisících, nelze skončit s jednotkami na konci.

Výsledek vidíte na následujícím obrázku, dané skóre je hned na druhém místě pod Václavem Klausem. Není co dodat.

Klepněte pro větší obrázek

„Marka_z_Mobilmanie“ už ve výsledcích na webu IQ Testu nenajdete, Oskar včera večer tento záznam odstranil.

A co Oskar?

Oskara jsem samozřejmě o tomto problému informoval a požádal ho o oficiální vyjádření. Protože se však celá věc začala řešit až v sobotu odpoledne a hlavní „viník“, americká společnost Symblaze, není tak snadno dosažitelná, tiskový mluvčí Oskara Igor Přerovský zatím nemohl přesně říct, co se nyní s IQ Testem stane a jaký bude další postup.

Vedoucí projektu Oskarneval Jan Schmiedhammer podle Igora Přerovského potvrdil, že technici od čtvrtečního spuštění hry zaznamenali několik pokusů o její prolomení, systém jim ale dokázal čelit. K poslednímu pokusu, kterého se týká tento článek, však zatím nejsou konkrétní informace, je třeba počkat na vyjádření americké společnosti. 

Odpovědi ale samozřejmě získáme později a připravíme z nich další článek, nebo zaktualizujeme tento text.

Oživeno: neděle 9.25 Oskar nám právě poskytl další krátké oficiální prohlášení k tomuto problému: Včera byl skutečně zaznamenán jeden pokus o nabourání do systému a Oskar v současnosti připravuje protiopatření, která tomu v budoucnu zabrání. Sejde se realizační tým a zítra (v pondělí) bude k dispozici komplexní stanovisko a další informace.

Škoda IQ Testu

Je mi upřímně líto, že IQ Test neodolal záludným uživatelům. Je to bezvadná hra, kterou si rád zahraji i teď, když vím, že bodové hodnocení může být zfalšováno. Oskar ale bude mít trochu ostudu a je vidět, že ani věhlasná profesionální firma, která si za své služby určitě nechala tučně zaplatit, nedokáže připravit neprůstřelný produkt.

Co nyní může Oskar udělat? Mohl by připravit novou verzi hry, která bude více zabezpečená, a dosavadní výsledky s omluvou vynulovat. Myslím, že by mu to uživatelé neměli příliš za zlé. První část hry by také mohla být zrušena, což by ale podle mého názoru bylo horší než předchozí varianta.

Ještě bych rád ocenil přístup pana „cz“, který byl trošku na rozpacích, jestli veřejným oznámením bezpečnostní chyby udělal správnou věc. Ačkoli mohl být snadno na prvním místě žebříčku Oskarových zákazníků, ve kterém se vyhrávají Nokie 8310, svůj „hack“ předvedl tam, kde z toho nikdo neměl škodu. A jak se tak dívám na „výherní“ žebříček, myslím, že není sám, kdo na tuto bezpečnostní díru přišel, a ostatní rozhodně nebyli tak čestní.

Diskuze (123) Další článek: Nejjednodušší nastavení WAPu pro Ericssony? Textovkou!

Témata článku: Operátoři, Vodafone, Oskar, Předchozí varianta, Hlavní viník, Test, Bezpečnostní díra


Určitě si přečtěte

Amazfit BIP: Vyzkoušeli jsme nejlevnější chytré hodinky od Xiaomi

Amazfit BIP: Vyzkoušeli jsme nejlevnější chytré hodinky od Xiaomi

Odlehčená verze prvních hodinek Xiaomi Huami Amazfit Xiaomi Huami Amazfit Bip míří do ČR za cenu 2 500 Kč Mají vestavěnou GPS a slibují výdrž až 45 dní

Petr Březina | 136

RECENZE: Nokia 8 Sirocco — luxusně nepraktická

RECENZE: Nokia 8 Sirocco — luxusně nepraktická

** Vzhled na prvním místě, vše ostatní se musí podrobit ** Nejedná se však pouze o převlečenou Nokii 8, nabídne víc ** Za nevšední design platí samozřejmě jistou daň, a ne jednu **

Milan Měchura | 10

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

RECENZE: Huawei P20 Lite — odlehčená verze letošní špičky láká vzhledem i cenou

** Osvědčený recept Huawei v trochu modernějším střihu ** Výřez v displeji neruší ani zdaleka, jak by se mohlo zdát ** Odemykání obličejem je návykové a překvapivě dobře funguje

Martin Herodek | 35

RECENZE: Xiaomi Mi Mix 2S — keramický umělec bez rámečků i kompromisů

RECENZE: Xiaomi Mi Mix 2S — keramický umělec bez rámečků i kompromisů

** Bezrámečkovost ve známé podobě se špičkovou výbavou i foťákem ** Vítanou novinkou je podpora bezdrátového nabíjení ** V neposlední řadě zaujme také svou lákavou cenou.

Martin Miksa | 39

RECENZE: Xiaomi Redmi 5 Plus — znovu trefa do černého

RECENZE: Xiaomi Redmi 5 Plus — znovu trefa do černého

** Redmi 5 Plus nabízí velký 6palcový FullHD+ displej i dostatečný výkon ** Oproti minulé generaci dokázalo Xiaomi zapracovat na fotoaparátu ** Celková vyváženost vč. rozumné ceny ho předurčuje k úspěchu

Milan Měchura | 34