发现可远程控制玩家电脑的Steam漏洞,Valve 7500美元奖励上报人

时间:2019-01-11 11:54:19   |    软件故障   |   

      一位网络安全研究人员发现Valve的Steam软件存在一个漏洞,黑客可以借此控制用户的个人电脑,目前Valve已经修复了该漏洞。事后,上报人获得了来自Valve的7500美元奖励。

      最先发现这个漏洞的是托马斯·沙德韦尔(Thomas Shadwell),他是一位热心肠的白帽黑客小哥。根据Shadwell的说法,利用这个漏洞的最好方法是发布一个署名为游戏玩家的链接,当点击该链接时,就会启动攻击代码,并将受害者电脑的控制权交给黑客。

      “Bug出现在Steam聊天功能中,黑客一旦得手,Steam内部用来打开用户电脑文件的功能将被盗取,最坏的情况是可以全程操控用户的电脑系统。然后他们可以用赎金软件使电脑无法使用。”

      显然,Valve已经不是第一次遇到这种情况了。去年7月,开发者Tyler Glaie利用Steam的漏洞计算出了超过1.3万款游戏的玩家数量,并在外媒arstechnica上公布了这份标注着各游戏玩家数量的表单。

      Shadwell分析:“随着视频、游戏行业的发展,Valve的Steam门户网站已成为当下最热门的游戏下载集中地之一,这使得它成为黑产眼中的香饽饽。黑客往往利用玩家对平台的信任感进行诈骗,其目标正是用户的私人数据信息。”

      值得庆幸的是,Shadwell在第一时间通知了Valve,后者也已经将漏洞修复。Shadwell说:“总的来说,Steam Chat的构建考虑到了良好的安全性,Valve明智的做法是将新的安全设计方法同样应用于其系统的陈旧部分,这就杜绝了黑客钻系统升级空子的可能性。”

但正如上面所说,面对Valve这块“大蛋糕”黑产往往不会轻易选择放弃。因此,Shadwell也尝试提醒Valve多加小心,因为对Steam心怀不轨的黑客们很有可能正奋力寻求新的漏洞以实现计划。

      他说:“Steam仍是网络犯罪的主要目标,因为Steam游戏中的虚拟物品蕴含着大量的真实价值,所以Steam上已经出现了许多网络犯罪类型的活动——Steam上的用户以盗取他人账户并清算与该账户相关的资产为生。”