אני בספק שנשמע יותר מדי עלדרמת Uplay של אתמול, בהתחשב בחור האבטחה שנראה היהמחובר בבטחהלפני שכל נפש רשע יכלה לנצל את זה. Ubisoft העבירו תגובה נוספת על הנושא כפי שהם ראו אותה, עם זאת, בטענה שניצול שאפשר כמות עצומה של גישה למחשבים של משתמשי Uplay היה תוצאה של "שגיאת קידוד" וכי התשתית/חנות/DRM המקוונת שלהם לא עשתה זאת. כולל ערכת שורש.
"אפליקציית Uplay מעולם לא כללה rootkit", דובראמר לקוטאקו. "הבעיה הייתה מפלאגין של דפדפן ש-Uplay PC משתמש בו, שסבל משגיאת קידוד שאפשרה גישה לא מכוונת למערכות המשמשות בדרך כלל מפתחי משחקי Ubisoft PC כדי ליצור את המשחקים שלהם."
מדוע היה שם תוסף הדפדפן, על גבי Uplay עצמה? מדוע איננו מודעים לכך ומקבלים את הבחירה לסרב לכך כאשר Uplay מותקן?
הוסיפה Ubisoft, "תוסף הדפדפן שבו השתמשנו כדי להפעיל את האפליקציה דרך Uplay היה מסוגל לקחת ארגומנטים של שורת הפקודה שהמפתחים השתמשו בהם כדי להפעיל את המשחקים שלהם בזמן שהם נוצרים. חולשה זו עלולה לאפשר לאפליקציה לציין כל קובץ הפעלה להפעלה, במקום רק משחק זה אומר שאפשר היה להפעיל תוכנית אחרת במכונה."
מדוע חלפה שגיאה כה חמורה? אם חברה מתכוונת לעשות מאמצים כה גדולים כדי לכלול פונקציונליות מקוונת, האם ההגנה על הלקוחות שלה לא צריכה להיות בעלת חשיבות לפחות כמו ההגנה על המוצרים המוגנים בזכויות יוצרים שלה? אני יודע ששגיאות תכנות הן בעצם בלתי נמנעות, אבל זה היה דבר ענק להחמיץ. וזה לא היה שם בכלל אם לא היה תוסף דפדפן מותקן בשקט.
למרות שעדיין אין סימן להתנצלות על כך שהותירו כל כך הרבה מהלקוחות שלהם חשופים להתקפות כתוצאה מהרישול הזה, Ubisoft מציינת שהם תיקנו את התיקון במהירות - כנראה שמבנה עובד היה בבדיקה כ-90 דקות לאחר ששמעו על התיקון. לנצל, ועלה לאוויר כשמונה שעות לאחר מכן. זה די מהיר, אבל אני לא מבין למה הם לא הזהירו את הלקוחות שלהם להשבית את Uplay בינתיים. גם האקרים יכולים לעבוד מהר, אתה יודע?
קוטאקו טוענת גם, באמצעי הדיבור המדווח, כי Ubisoft אמרה שהניצול "לא קשור ל-DRM הידוע לשמצה שלה. הממ. זה כנראה נכון - זה חלק מכל תשתית Uplay (כלומר מכירות DLC, הישגים, דברים ברשתות חברתיות) ולא מה-DRM ספציפית. אבל שוב, למה בכלל היה צורך בתוסף הדפדפן, בנוסף לאפליקציית Uplay? אשלח כרטיס אלקטרוני לאדם הראשון שיוכל להסביר לי זאת בצורה משכנעת.
