资讯 网络安全

发现可远程控制玩家电脑的Steam漏洞,Valve 7500美元奖励上报人

作者:灵火K
2019/01/10 17:47

雷锋网(公众号:雷锋网)1月10日消息,一位网络安全研究人员发现Valve的Steam软件存在一个漏洞,黑客可以借此控制用户的个人电脑,目前Valve已经修复了该漏洞。事后,上报人获得了来自Valve的7500美元奖励。

最先发现这个漏洞的是托马斯·沙德韦尔(Thomas Shadwell),他是一位热心肠的白帽黑客小哥。根据Shadwell的说法,利用这个漏洞的最好方法是发布一个署名为游戏玩家的链接,当点击该链接时,就会启动攻击代码,并将受害者电脑的控制权交给黑客。

发现可远程控制玩家电脑的Steam漏洞,Valve 7500美元奖励上报人

“Bug出现在Steam聊天功能中,黑客一旦得手,Steam内部用来打开用户电脑文件的功能将被盗取,最坏的情况是可以全程操控用户的电脑系统。然后他们可以用赎金软件使电脑无法使用。”

显然,Valve已经不是第一次遇到这种情况了。去年7月,开发者Tyler Glaie利用Steam的漏洞计算出了超过1.3万款游戏的玩家数量,并在外媒arstechnica上公布了这份标注着各游戏玩家数量的表单。

Shadwell分析:“随着视频、游戏行业的发展,Valve的Steam门户网站已成为当下最热门的游戏下载集中地之一,这使得它成为黑产眼中的香饽饽。黑客往往利用玩家对平台的信任感进行诈骗,其目标正是用户的私人数据信息。”

值得庆幸的是,Shadwell在第一时间通知了Valve,后者也已经将漏洞修复。Shadwell说:“总的来说,Steam Chat的构建考虑到了良好的安全性,Valve明智的做法是将新的安全设计方法同样应用于其系统的陈旧部分,这就杜绝了黑客钻系统升级空子的可能性。”

但正如上面所说,面对Valve这块“大蛋糕”黑产往往不会轻易选择放弃。因此,Shadwell也尝试提醒Valve多加小心,因为对Steam心怀不轨的黑客们很有可能正奋力寻求新的漏洞以实现计划。

他说:“Steam仍是网络犯罪的主要目标,因为Steam游戏中的虚拟物品蕴含着大量的真实价值,所以Steam上已经出现了许多网络犯罪类型的活动——Steam上的用户以盗取他人账户并清算与该账户相关的资产为生。”

来源:forbes

文章点评
相关文章