O hacker ético Gabriel Lima, mais conhecido por Gabriel Pato, descobriu uma falha de segurança em Free Fire, game de tiro mais popular do momento, com mais de 80 milhões de usuários ativos, e jogado apenas em celulares. A descoberta foi no final de agosto, mas a desenvolvedora do jogo já a corrigiu.
Na prática, criminosos poderiam facilmente interceptar a comunicação entre os dispositivos dos jogadores e os servidores e, com isso, se passar pela conta da vítima. Para isso, a única exigência seria estar conectado na mesma rede wi-fi do usuário.
Durante a produção de vídeos para o seu canal, Gabriel Pato notou algo anormal ao analisar o tráfego de rede do jogo com os servidores da partida.
“Enquanto eu estudava como ocorria a comunicação entre o app e os servidores do game, acabei observando um token de sessão sendo enviado a outros servidores, que não eram os responsáveis pela partida que eu estava analisando anteriormente”, explica.
Esse token é enviado após o usuário se autenticar no Free Fire e serve como uma identificação do jogador, permitindo que ele se conecte ao ambiente do game. “Eu sabia que, se aquele token estava aparecendo para mim, estaria aparecendo para qualquer usuário analisando o tráfego de usuários da rede”, diz.
Desta forma, o token de sessão do usuário era transmitido de forma desprotegida. E isso ocorria com três servidores do game: o de “matchmaking” do jogo, que conecta o jogador a partidas; o do chat em texto do game; e o responsável por registrar o uso de recursos e de erros do jogo, como situações em que ocorrem lag [atraso no envio de dados] ou outros problemas de conexão.
Para analisar a extensão do risco, Pato conta que fez um teste, criando uma ferramenta que enviava solicitações ao servidor usando um token especificado por ele. Com isso, notou que podia fazer compras dentro do jogo com os tokens capturados.
Além disso, descobriu ser possível usar esses tokens para acessar a conta da vítima com uma ferramenta de proxy [servidor que age como intermediário entre usuários e servidores] e assim um criminoso poderia fingir ser esta conta.
“O invasor teria a exata mesma experiência que a vítima tem em sua própria conta. Ele poderia, por exemplo, usar o chat e falar com amigos e guilda em nome da vítima, alterar as skins e pets da conta, abrir caixas de itens e até fazer compras usando o saldo atual de diamantes da conta, incluindo presentes para contas de terceiros”, diz Pato.
Esse último ponto é mais crítico. Como o Free Fire possui um sistema que permite presentear outras contas com itens comprados na loja do game —usando até dinheiro real— era possível usar essa falha para roubar esses itens ou créditos.
Solução demorou um mês
Ao perceber a falha, Pato afirmou que buscou contato com a Garena, produtora do game. Em um primeiro momento, relata ter encontrado dificuldades por não haver um meio oficial para denunciar a falha descoberta.
No dia 21 de agosto, afirma ter conseguido um meio de contatar a produtora, que respondeu três dias depois. Afirmou que estavam trabalhando na análise do caso. A falha foi reconhecida no dia 28 de agosto e uma atualização, contendo a correção para o problema, foi lançada quase um mês depois, em 23 de setembro.
Segundo Pato, uma forma simples de resolver o problema seria estabelecer conexões criptografadas entre os celulares dos jogadores e os servidores do game.
Procurada por Tilt, a Garena só confirmou que a falha foi corrigida nessa atualização. Questionada sobre a quantidade de contas expostas ao problema e também se há outras iniciativas para tornar o Free Fire mais seguro para os jogadores, a produtora, por meio de sua assessoria, disse não ter mais informações.
O problema em falhas de segurança do tipo é que há pouca margem para os usuários se prevenirem. “Provavelmente quando o jogador percebesse algo irregular já seria tarde demais. Ele poderia notar, por exemplo, o uso de seus créditos de diamantes ou qualquer outra mudança de configuração de sua conta que o invasor pudesse fazer”, lamenta Pato.
De qualquer maneira, algumas recomendações podem ser úteis para, ao menos, diminuir as chances de problemas. Evitar jogar games online em redes de wi-fi públicas é uma delas. Outra opção é usar uma rede privada (VPN), que oferece uma comunicação criptografada. Nesse último caso, é importante pesquisar bem o serviço para evitar cair em armadilhas.
