一位網絡安全研究人員發現Valve的Steam軟件存在一個漏洞,黑客可以藉此控制用戶的個人電腦,目前Valve已經修復了該漏洞。事後,上報人獲得了來自Valve的7500美元獎勵。
最先發現這個漏洞的是托馬斯·沙德韋爾(Thomas Shadwell),他是一位熱心腸的白帽黑客小哥。根據Shadwell的說法,利用這個漏洞的最好方法是發佈一個署名為遊戲玩家的鏈接,當點擊該鏈接時,就會啟動攻擊代碼,並將受害者電腦的控制權交給黑客。
“Bug出現在Steam聊天功能中,黑客一旦得手,Steam內部用來打開用戶電腦文件的功能將被盜取,最壞的情況是可以全程操控用戶的電腦系統。然後他們可以用贖金軟件使電腦無法使用。”
顯然,Valve已經不是第一次遇到這種情況了。去年7月,開發者Tyler Glaie利用Steam的漏洞計算出了超過1.3萬款遊戲的玩家數量,並在外媒arstechnica上公佈了這份標註著各遊戲玩家數量的表單。
Shadwell分析:“隨著視頻、遊戲行業的發展,Valve的Steam門戶網站已成為當下最熱門的遊戲下載集中地之一,這使得它成為黑產眼中的香餑餑。黑客往往利用玩家對平臺的信任感進行詐騙,其目標正是用戶的私人數據信息。”
值得慶幸的是,Shadwell在第一時間通知了Valve,後者也已經將漏洞修復。Shadwell說:“總的來說,Steam Chat的構建考慮到了良好的安全性,Valve明智的做法是將新的安全設計方法同樣應用於其系統的陳舊部分,這就杜絕了黑客鑽系統升級空子的可能性。”
但正如上面所說,面對Valve這塊“大蛋糕”黑產往往不會輕易選擇放棄。因此,Shadwell也嘗試提醒Valve多加小心,因為對Steam心懷不軌的黑客們很有可能正奮力尋求新的漏洞以實現計劃。
他說:“Steam仍是網絡犯罪的主要目標,因為Steam遊戲中的虛擬物品蘊含著大量的真實價值,所以Steam上已經出現了許多網絡犯罪類型的活動——Steam上的用戶以盜取他人賬戶並清算與該賬戶相關的資產為生。”
閱讀更多 網絡江湖小生 的文章
