Da der Server Live Your Life heute um 16 Uhr wieder online gekommen ist, habe ich mir das ganze Projekt, welches unter einer neuen Leitung steht mal angeschaut. Dabei ist mir aufgefallen, dass sie ihren Launcher sehr stark bewerben und mit vorteilen, welche unten im Spoiler stehen annoncieren.
Spoiler anzeigen
Sie sagen, dass der Launcher die Mission runterlädt, welches den Server entlastet. Des weiteren soll er direkt auf ihr Server connecten. Für eine solche Entlastung bekommt man dann sehr starke Reduktionen von Preisen, welche normale User natürlich einsparen möchten.
Nun habe ich mir den Launcher angeschaut und ein wenig Reverse Engineering angewandt um eventuelle Machenschaften, welche nicht beworben werden aufzudecken.
Als erstes habe ich das Programm in einer Sandbox gestartet und mir mit Fiddler die Requests, welche das Programm erzeugt angeschaut und bin auf interessante aufrufe gestoßen. Eine davon war zu api.lyl.gg/launcher/bonus.php. Diese ist anscheinend um die Bonis von welchen ich oben gesprochen habe. Eine solche Website benötigt natürlich auch Argumente, damit sie den Spieler identifizieren kann. Diese sehen bei mir wie folgt aus:
id=765611981033xxxxx&ids=76561198103xxxxx,765611982855xxxxx,765611988457xxxxx,765611980702xxxxx,765611981594xxxxx,765611982373xxxxx,765611982898xxxxx,765611982936xxxxx,765611979954xxxxx,765611983784xxxxx,765611988006xxxxx&ver=Windows 8&def=2
Die Grün markierten Parameter sehe ich als legitim an, wobei das übergeben der Windows Version eventuell überflüssig sind und anscheinend inakkurat (Ich habe Windows 10).
Die Rot markierten Parameter sind unnötig bzw auch gefährlich. Fangen wir mit den ids an. Diese nimmt der Launcher aus der Registry von Steam und können natürlich in ihrem backend alles abspeichern, was auch in Datenschutz rechtlichen zwecken fragwürdig ist. Des weiteren übergeben sie den Status eines Schlüssels Computer\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Defender\\Real-Time Protection\\DisableRealtimeMonitoring, welcher wie der Name schon sagt etwas mit dem Windows Defender zutun hat und eventuell auch Aufschlüsse über andere installierte Antivirusprogramme gibt. Eine solche Information kann, wie ich vermute im böswilligen Gebrauch Ziele ausfindig machen, um sie zu einem späteren Zeitpunkt zu hacken.
Weitere URLs, welche der Launcher benutzt sind unten aufgelistet.
Spoiler anzeigen
Wenn ein Moderator ein Problem mit diesem post hat, würde ich mich freuen, dass er sich bei mir meldet und ich Informationen, welche unangebracht sind herausnehme.