Nintendo verwijdert indiegame met verstopte Ruby-interpreter uit Switch eShop

Nintendo heeft indiegame A Dark Room uit de Switch eShop gehaald, nadat de ontwikkelaar liet weten dat in het spel een Ruby-interpreter benaderbaar was. De ontwikkelaar claimt dat hij mensen kennis wilde laten maken met coderen en er met de interpreter niet veel kon.

A Dark Room is een text-based-rpg die op 12 april uitkwam voor de Nintendo Switch. Op donderdag 25 april plaatste ontwikkelaar Amir Rajan een bericht op het sociale netwerk ruby.social, waarin hij over de Ruby-interpreter en code editor schrijft. Om van de easter eggs gebruik te kunnen maken, moesten gebruikers een usb-toetsenbord op de Switch aansluiten en op de ~-toets drukken. Rajan schrijft de functies te hebben ingebouwd om 'de magie van het coderen in haar puurste vorm' te kunnen brengen naar gebruikers.

Rond het weekend blijkt Nintendo het spel uit de eShop te hebben verwijderd, schrijft Eurogamer. Nintendo heeft nog niet gereageerd op het voorval, maar het lijkt alsof de twee functies daar de reden van zijn. Uitgever Circle Entertainment zegt tegen de site ervan bewust te zijn dat het spel op 26 april uit de digitale winkel is verwijderd, maar geeft geen verdere informatie over de problemen, omdat het bedrijf nog in gesprek is met Nintendo.

Tegen Eurogamer zegt Rajan spijt te hebben van zijn keuze. "Een simpele sandboxed omgeving is nu geframed tot een grote exploit. Ik wilde kinderen en volwassenen alleen kennis laten maken met de vreugde van het coderen." Volgens Rajan was het ook alleen mogelijk om met Ruby lijnen, vierkanten en labels te tekenen en geluiden van A Dark Room af te spelen. Ook kon de interpreter registreren wanneer een knop van de Joycon werd ingedrukt. Het was alleen mogelijk apps te bouwen die op basis van die lijnen, vierkantjes en labels werken, stelt Rajan.

Op Reddit schrijft een Switch-ontwikkelaar echter dat de gebruikte Ruby-interpreter kwetsbaarheden bevatte. Zo was het met de interpreter volgens de ontwikkelaar mogelijk om in userland code uit te voeren, een 'noodzakelijke en kritische stap om de bevoegdheden van de gebruiker binnen de Switch te verhogen'. Daardoor zou uiteindelijk de Switch-drm omzeild kunnen worden.

Nintendo is volgens de redditgebruiker huiverig voor gebruikers die de drm van de console kunnen omzeilen. Daarom zou het bedrijf mogelijk kwetsbaarheden binnen het besturingssysteem zo snel mogelijk verhelpen en om deze reden zou de Switch bijvoorbeeld geen eenvoudig benaderbare webbrowser hebben.

Nintendo Switch A Dark Room Ruby-interpreter
De Ruby-interpreter zoals deze door ruby.social-gebruiker Frinkel the Raccoon is geplaatst

Door Hayte Hugo

Redacteur

Feedback • 30-04-2019 15:22
52 • submitter: RayNbow

30-04-2019 • 15:22

52

Submitter: RayNbow

Lees meer

Nintendo Switch

vanaf € 277,90

4 van 5 sterren

Alles over dit product

Digital Foundry: Nintendo overklokt Switch voor verbeteren laadtijd en graphics
Digital Foundry: Nintendo overklokt Switch voor verbeteren laadtijd en graphics Nieuws van 10 mei 2019
Nintendo kondigt geen Switch aan tijdens E3 in juni
Nintendo kondigt geen Switch aan tijdens E3 in juni Nieuws van 25 april 2019
Nintendo levert bijna 17 miljoen Switch-consoles en boekt fors hogere winst
Nintendo levert bijna 17 miljoen Switch-consoles en boekt fors hogere winst Nieuws van 25 april 2019
Super Mario Maker 2 komt op 28 juni uit voor Nintendo Switch
Super Mario Maker 2 komt op 28 juni uit voor Nintendo Switch Nieuws van 25 april 2019
Gerucht: goedkopere Nintendo Switch komt eind juni uit
Gerucht: goedkopere Nintendo Switch komt eind juni uit Nieuws van 24 april 2019
Nintendo laat Commodore 64-port van Super Mario Bros. offline halen
Nintendo laat Commodore 64-port van Super Mario Bros. offline halen Nieuws van 23 april 2019
Meer producten en artikelen
Consoles Nintendo

Reacties (52)

-Moderatie-faq
52
51
29
1
0
11
Wijzig sortering
BrutalDave 30 april 2019 16:20
Het laat vooral zien dat het veel te makkelijk is om een editor naar binnen te sneaken.
Carharttguy @BrutalDave30 april 2019 16:36
Dit dus. En ook nog eens dat de Switch makkelijk te exploiten is. Waarom kan een sandboxed game code runnen in userland?
Paul @Carharttguy30 april 2019 17:19
Waar anders? Ik zou het eerder raar vinden als een sandboxed game dingen kan draaien in kernelspace...
Carharttguy @Paul30 april 2019 21:43
Waar anders? In de sandbox? Alleen daarin, niet erbuiten. Een sandboxed process kan normaliter niet aan andere processen of filesysteem. Userland kan wel aan andere processen en het hele filesysteem.

En de opmerking dat kernelspace nog erger zou zijn, nja.. Dat is natuurlijk wel zo, maar dat is toch geen argument?
RoestVrijStaal @Carharttguy30 april 2019 23:02
Waar anders? In de sandbox? Alleen daarin, niet erbuiten. Een sandboxed process kan normaliter niet aan andere processen of filesysteem.
Tot zover de theorie.

In de praktijk kan er met een exploit(chain) uit de sandbox van de applicatie gebroken worden. Dat kwam al jaarlijks in het nieuws voorbijMet andere woorden: Je kan zoveel schilletjes toevoegen als je wil, maar waar de schil rot is, gaat de schil je niet helpen.
blorf @RoestVrijStaal1 mei 2019 18:03
Ik denk dat het er vooral aan ligt wat voor een sandbox mag doorgaan, en op welke level je die toepast. Het meest waterdicht is een omleiding naar je eigen proces in de kernel main loop. Alleen is er geen smartphone-OS maker die dat beschikbaar gaat stellen omdat zijn eigen gebruikersomgeving erdoor overbodig kan raken, en dan met name het daarvoor aanschaffen van software tegen betaling en gedwongen reclame voorschotelen. :+

[Reactie gewijzigd door blorf op 23 juli 2024 05:37]

Paul @Carharttguy30 april 2019 22:56
Zoals ik het lees is het niet het programma dat in een sandbox draaide, enkel dat die programmeur zelf een sandbox had geschreven, en dat de gebruiker daar blijkbaar uit kon. Het probleem is, als ik die Reddit post goed lees, niet dat een game zelf in userland draait met code geschreven door de developer, maar dat het de gebruiker de optie gaf deze code te schrijven en in userland te draaien.
MrFax @Paul1 mei 2019 00:45
Maar er zullen heus andere games zijn waarbij exploits te gebruiken zijn om zo code uit te kunnen voeren. Op deze manier waren ook andere consoles te hacken. Eerst werd er een buffer overflow gevonden in een game, waarmee je code kon uitvoeren in de userspace die een kernelspace exploit misbruikt. Voila, je zit er in.

Ook kan via een userspace exploit makkelijker gezocht worden naar kernelspace exploits, omdat je trial & error hebt.

Nintendo vergeet dat ELKE game exploits heeft.

[Reactie gewijzigd door MrFax op 23 juli 2024 05:37]

CyBeR @MrFax1 mei 2019 11:31
Nintendo vergeet dat ELKE game exploits heeft.
Nintendo vergeet niks. Het is niet voor niks zo dat save files (een bekende attack vector) alleen op interne storage gezet worden, waar je als normale user niet bij kunt en dat er geen general purpose web browser is (idem). Niks is perfect, getuige dat de Switch inmiddels wel redelijk gehackt is, maar dat is niet omdat ze 't niet geprobeerd hebben en 't heeft ook vrij lang geduurd voordat iemand eigen code kon draaien op 't apparaat.
Carharttguy @Paul3 mei 2019 09:52
Aha, zo had ik het niet gelezen inderdaad. Dan is de reactie van Nintendo wel begrijpelijk. Je kan niet aan de ene kant afschermen dat gebruikerrs custom code draaien, maar aan de andere kant games toelaten die aan gebruikers juist wel die mogelijkheid geeft.
Danster75 @Carharttguy30 april 2019 17:29
dat de Switch makkelijk te exploiten is.

Dit geldt alleen voor Switches tot een bepaald serienummer. De nieuwere modellen zijn momenteel nog niet te exploiten.
bron: https://gbatemp.net/threa...-asking-questions.481215/
Verwijderd @Danster7530 april 2019 19:49
Staat hier volledig los van. Dat ie nog niet compleet kapot te hacken valt, betekent niet dat er geen exploit is. Als je met die Ruby interpreter bijvoorbeeld je avatar in het hoofdmenu kan aanpassen, of foto's kunt importeren van je SD, betekent het nog niet dat het mogelijk is unsigned programma's te draaien. Volgens de tekst kon het enkel dingen gebruiken waar de gebruiker ook direct toegang tot heeft. Blijft wel een exploit, want het zou niet moeten kunnen.
Travelan @Verwijderd1 mei 2019 18:44
Volgens die logica is geen systeem veilig voor exploits. Wat in principe natuurlijk ook zo is.
RoestVrijStaal @BrutalDave30 april 2019 23:04
Het zou wat zijn als geen enkel game of app tekst input mag hebben :)
RVervuurt 30 april 2019 15:54
Ik wilde kinderen en volwassenen alleen kennis laten maken met de vreugde van het coderen
Ja, dat doe je ook echt door een programma te verbergen achter het koppelen van een toetsenbord en daarna op ~ te drukken... Daar ga je echt interesse in programmeren mee wekken bij mensen die dat nooit gaan vinden.
kipppertje @RVervuurt30 april 2019 16:51
Wel als je het bekend maakt.
Verwijderd @kipppertje30 april 2019 19:53
Omdat iedereen snel een USB-C/USB-A adapter gaat kopen en met Switch in kickstand en toetsenbord eraan gaat lopen programmeren? De laptop erbij pakken is sneller en handiger.
Seal64 @Verwijderd1 mei 2019 08:26
Eh, elke Switch wordt geleverd met dock. Met USB poorten. Waar je nu al een toetsenbord op kunt aansluiten - dat wordt in bepaalde games zelfs expliciet ondersteund. Je doet net alsof het aansluiten van een tobo heel ingewikkeld is, maar dat kan gewoon out-of-the-box.
Verwijderd @Seal641 mei 2019 16:05
Ok. Dan moet ik dus, om met deze interpreter te gaan kloten, mijn dock, adapter, en alle andere zooi ontkoppelen, kast wegtrekken, Switch + alles bij de monitor in een andere kamer neerzetten, en vervolgens het hele riedeltje weer herhalen voor elke keer dat ik dat wil gaan doen. Of met toetsenbord op de grond voor de TV gaan zitten. Nee, bedankt. Dan kun je de middle man eruit snijden en gewoon met Ruby gaan kloten op je computer/laptop.

Genoeg sites die playful leren van programmeren aanleren, en het 10x beter doen:
https://www.helloruby.com
https://codecombat.com
https://www.tynker.com
https://codecademy.com

Etc. etc.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:37]

Seal64 @Verwijderd1 mei 2019 17:15
Er staan 423 draadloze toetsenbordjes in de pricewatch die niet op BT, maar gewoon een RF transmitter werken en dus geen drivers vereisen. De goedkoopste voor twaalf euro en een dubbeltje. Ontvanger in je dock, toetsenbord wherever, klaar.

Niet dat ik het niet met je eens ben dat je programmeren beter op een PC kunt doen, maar je maakt het veel moeilijker dan nodig is.
RVervuurt @kipppertje1 mei 2019 09:10
Het is imo veel effectiever om interesse in coding te wekken in het spel en dan te linken naar, of vertellen over, de mogelijkheden die iedereen op z'n computer kan uitzoeken.

Zeker als het om een zo beperkte interpreter gaat als in dit geval. Zijn uitspraak is gewoon een slap excuus, een verhaaltje om Nintendo schuld aan te praten want "het was voor de kinderen! Haten jullie kinderen ofzo?"
Verwijderd @RVervuurt1 mei 2019 13:24
Wat een gehaat in deze thread over een easter egg......
Orion64 30 april 2019 15:25
Zie dat wil zitten, lekker primair experimenteel wat programmeren op de Switch.
RayNbow
@Orion6430 april 2019 15:28
Zie dat wil zitten, lekker primair experimenteel wat programmeren op de Switch.
Petit Computer / SmileBASIC zou deze lente voor de Switch uit moeten komen (tenzij het weer wordt vertraagd).
DigitalExorcist
@RayNbow30 april 2019 15:34
Bovendien hebben we daar Labo toch voor 😜
Sméagol @RayNbow30 april 2019 16:34
Daarnaast komt Fuze4 in "Q2" uit, en die is gewoon in EU te krijgen. Petit Computer zal dat noet direct zijn (en zal vermoedelijk zelfs in japan nog wel een keer uitgesteld worden).
LOTG 30 april 2019 15:37
Dit had hij echt gewoon van mijlen ver kunnen zien aankomen. Dit doe je toch gewoon niet.

Je bouwt stiekem een interpreter in je software die je langs Nintendo probeert te sneaken en dan raar op kijken als je mogelijke exploit er voor zorgt dat er flink wat problemen komen. Hoe lang denkt hij dat het duurt voor dat iemand hier mee een mogelijkheid heeft gevonden om meer dan alleen lijntjes te tekenen en er backups mee te kunnen starten?
"I acted alone and stupidly. It was a last second 'spark of inspiration' and I snuck it in assuming that plugging in a USB keyboard and pressing the "~" key wasn't part of the test plan.
Dat klinkt als extreem goed getest...

Het hele verhaal op Eurogamer doet mij ook niet vermoeden dat hij het idee heeft wat hij Circle heeft aangedaan en dat dit ook niet de beste manier is om er mee weg te komen. Ik bedoel, als je de mensen die beslissen wat de gevolgen hier van zijn de "suits in charge" noemt koop je niet veel bonus punten.
Verwijderd @LOTG1 mei 2019 13:21
Ach, als je het systeem ermee in de war kan schoppen, dan klopt de implementatie van de switch niet....
Parrotmaster 30 april 2019 15:36
Natuurlijk gaat Nintendo het spel meteen van de EShop afhalen. Het is absurd dat iemand dacht dat het een goed idee was om dit te doen.

Easter eggs zijn ok, maar een volledige Ruby interpreter? Wtf?
casecase @Parrotmaster30 april 2019 15:41
Excel 97 Flight Simulator Easter Egg. (https://en.wikipedia.org/...ggs_in_Microsoft_products)
Ietsje uitgebreider dan een simpele Ruby interpreter...
Verwijderd @casecase30 april 2019 16:07
Niet vergelijkbaar. Met die flight simulator kun je geen willekeurige code uitvoeren.
hiostu @Verwijderd30 april 2019 16:16
Maar het was wel undocumented code waardoor je mogelijk exploits introduceert doordat de code niet goed getest en gereviewd is. Daardoor moesten alle eastereggs uiteindelijk ook verwijderd worden uit de Microsoft producten omwille van de veiligheid van de software.
batjes @casecase30 april 2019 17:20
Microsoft is er niet voor niets mee gestopt.
stuiterveer @JustFogMaxi30 april 2019 16:07
Het is al meer dan wat je zou verwachten dat in een spreadsheetprogramma zou zitten. Het was een easter egg, geen key feature. Natuurlijk is het dan minder uitgebreid en gedetailleerd dan <insert flight simulator>.
OxWax @JustFogMaxi30 april 2019 16:08
Beter kunnen is uploaden :)
Verwijderd @Parrotmaster1 mei 2019 13:19
Who cares dat er een ruby interperter in zat?
Parrotmaster @Verwijderd1 mei 2019 13:31
Nintendo? Die het spel van de EShop hebben gehaald?
Is dit een echte vraag?
Verwijderd @Parrotmaster1 mei 2019 15:50
Maar verder? Leuk toch een beetje ruby kunnen uitvoeren. Als nintendo zijn console niet eens op orde kan krijgen...
Parrotmaster @Verwijderd1 mei 2019 16:29
Er zijn een aantal beveiligings risico's hier.

Ten eerste wist Nintendo er niks van af (het is last-minute er nog in gezet) en ze hebben het dus niet kunnen testen.
Ten tweede is het volgens het artikel niet veilig en kan het worden gebruikt om de DRM te omzeilen en zo illegaal gedownloade games te spelen.

Dat Nintendo dit niet op de EShop wilt hebben is vanzelfsprekend. Ik ben eigenlijk verrast dat er iemand is die denkt dat dit acceptabel is. Dit zou je bij Sony en Microsoft ook niet kunnen.

PS: Nintendo heeft dit natuurlijk verwijderd uit voorzorg. Zou ik ook doen als iemand zei dat een product wat ze op mijn EShop hostte een verborgen easter-egg had in de vorm van een interpreter.

[Reactie gewijzigd door Parrotmaster op 23 juli 2024 05:37]

Verwijderd @Parrotmaster2 mei 2019 09:58
Uiteindelijk zou een applicatie natuurlijk gewoon goed in de perken moeten gehouden worden door de OS. Want je kan dus ook gewoon code verstoppen die het jailbreaked...
Parrotmaster @Verwijderd2 mei 2019 10:00
Je wilt juist niet de applicatie te veel beperken. De kracht van consoles/handhelds is dat de software het maximale uit de hardware kan halen zonder limitaties. Je voorkomt dit soort problemen door controles en natuurlijk door het gewoon te melden als ontwikkelaar.
Verwijderd @Parrotmaster2 mei 2019 10:51
Dat zou vereisen dat alle games met de source aangeleverd moeten worden naar nintendo, en dat nintendo mensen inzet om dat volledig door te ploegen. Klinkt niet als ideaal, en niet als wat je wilt hebben. 1 oversight van een nintendo en dev kan desastreus eindigen voor een console...
Parrotmaster @Verwijderd2 mei 2019 11:02
Klinkt niet als ideaal, en niet als wat je wilt hebben.
Dat is al wat gebeurt, en waarom zou je dat niet willen hebben? Het zorgt er voor dat de kwaliteit beter wordt. Het vereist niet veel mensen en zorgt er voor dat de meeste problemen opgelost worden.

https://nintendotoday.com/nintendo-switch-quality-control/
1 oversight van een nintendo en dev kan desastreus eindigen voor een console...
En daarom is het spel direct van de EShop gehaald.
ashwin911 30 april 2019 15:46
Amir Rajan heeft na het succes van A Dark Room naar mijn idee een enorme opgeblazen ego gekregen. Hij heeft de game niet eens ontworpen. Hij heeft alleen de open source code geport naar iOS en Android. De echte maker is Michael Townsend. Op Reddit deed hij zich altijd voor als een soort van indie game dev guru, hij had altijd blog posts over zijn succes en hoe andere indies hetzelfde succes als hem kunnen halen. Terwijl als je naar het traject van de release van A Dark Room kijkt dan heeft hij vooral veel geluk gehad die hij vooral te danken heeft aan Townsend. Dus het verbaast me niet echt dat hij dacht hiermee weg te kunnen komen.

[Reactie gewijzigd door ashwin911 op 23 juli 2024 05:37]

Clumsybumsy 30 april 2019 18:04
Je zou dit spel maar uitgegeven hebben, dan zit je toch flink in de problemen door zo'n domme actie. Ik hoop dat CIRCLE entertainment en Nintendo er samen uitkomen. CIRCLE Entertainment heeft namelijk best wat leuke spellen.
SuperDre 30 april 2019 22:38
Als hij dat zo graag wilde, dan had hij dat als basisfunctie van het spel moeten maken en niet stiekem verstoppen. Begrijp dus wel goed waarom Nintendo dit spel heeft verwijderd.
bart.koppers 30 april 2019 15:46
Ja, vooral veel beschermen. Alles lekker dichttimmeren. Dus bij je aparte VLAN voor iOT ook maar de Switch, Wii, PSxx toevoegen. Straks ben je nog onderdeel van het PS4/Wii/Switch-botnet dat remote ge-Rubied wordt :) :) :)
(De ZX Spectrum ook maar meenemen - wie weet wat JSW wel niet bevat aan remote exploits }:O )
darknessblade @bart.koppers30 april 2019 18:10
zoiets ik al lang van plan, appart wifi netwerk dat geen internet access heeft voor m'n smarthome setup, {wordt volledig DIY, waardoor ik geen server afhankelijk smarthome heb van bedrijven} {maar alles via een esp8266/arduino/sonoff/wemos-D1}

dan kunnen hackers niet veel als ze op dat internet zijn ingelogt.
{en al zeker niet als ik een fake login page heb, die mensen een .bat bestand laat openen ongeacht welk wachtwoord ze invoeren, die weer een bat-bestand creert in de startup-folder die shutdown,exe runt na 5 seconden} {werkt alleen voor de idiote hackers die windows gebruiken}

[Reactie gewijzigd door darknessblade op 23 juli 2024 05:37]

bart.koppers @darknessblade30 april 2019 19:22
Nou idd, maak ook meteen een honeypot-VM. Met XP of straks Win7. Voor de indiers die bellen van Microsoft-support India. Wordt het toch nog een Indie-game :)
darknessblade @bart.koppers1 mei 2019 08:41
Haha heb ik al.

cmd: /tree commando duurt namelijk al 30 minuten {1 uur als ik echt een hekel aan ze heb}
Emiel1984 @darknessblade30 april 2019 19:39
Een beetje ervaren 'hacker' opent niet zomaar de BAT file lijkt me, maar deze kijkt wat er in staat en heeft dit dus snel door. :+

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq