近日,reddit网友曝光了安全研究员Vasily Kravets发现的Steam重大安全漏洞。通过该漏洞,黑客可以将任意玩家的电脑变为矿机。
据安全研究员Vasily Kravets所言,当Steam客户端运行时,将自动为一些列注册表项目的相关权限提供许可,如果黑客利用特殊手段将这些权限授予另外一种服务,那么任何用户都可以启动和停止这项服务。这意味著只要用户在电脑上安装Steam,就能够使用最高权限运行任何程序。
这个漏洞的危害在于,由于这些程序拥有最高权限,一些潜在的危险会越过管理员权限造成损害,例如可以禁用杀毒软件、更改用户电脑的文件、窃取个人隐私等等。
早在6月15日,安全研究员Vasily Kravets通过HackerOne向Valve报告了这个漏洞,但是到了6月16日,HackerOne的员工却表示“不适用”,给出了一定的原因。经过讨论,7月20日,HackerOne工作人员再次将此次报告标记为“不适用”。到了8月7日,也就是安全研究员Vasily Kravets初次提交报告后的第45天,他不得不将这项漏洞公之于众,同时希望Steam开发人员及时修复。
Vasily Kravets表示:“我并不是第一个发现漏洞的人,但却是第一个进行分析的人。V社的态度令我感到惊讶,也让我感到失望。我从来没想过,一家严谨的大公司居然对这样的漏洞给出了难以预料的回复。我表示难以理解,也很难接受这家公司的做法。我不建议玩家们删除Steam,但是希望大家在使用的时候能多加注意。 ”
然而,这件事情其实还没完。
7月20日,当Vasily Kravets的漏洞报告被拒绝后,他曾经通知相关人员(HackerOne员工),将在7月30日之后公布漏洞信息;
8月2日,一位HackerOne员工禁止Vasily Kravets透露更多细节;
8月6日,Steam进行了更新,但是并没有修复相关的漏洞;
Vasily Kravets已向Steam提交该漏洞,但被拒绝。目前V社对此事还未做出任何回应。
EPIC表示:
V社表示:
已修复:
玩家表示:
这种漏洞啦~窃取个资啦~说真的对大部分玩家来说
无感
Steam Client Beta - August 9th
Steam Windows Service
※ 引述《p67132000 (赤 )》之铭言- Fixed privilege escalation exploit using symbolic links in Windows registry
Valve在8月10号的Client Beta版修了这个BUG,接下来就是等上正式版
EPICer可以把旗子收起来了
> https://steamcommunity.com/groups/SteamClientBeta/announcements/detail/1602638506845644644
>
Steam Client Beta - August 9th
> Steam Windows Service
- Fixed privilege escalation exploit using symbolic links in Windows registry
> Valve在8月10号的Client Beta版修了这个BUG,接下来就是等上正式版
> EPICer可以把旗子收起来了
同时补充一下目前看到的文章以及自己的理解。
这个漏洞要能成功完成目标目前看到有三种方式:
第一:骇客是你家的成员,或者拥有你电脑的其他、不属于权限管理者的帐号,接著通过Steam完成。
第二:骇客「已经」在你的电脑开启后门。
第三:骇客假装自己是游戏开发者,在Steam上放置伪装成免费游戏的骇客软体供玩家下载,后再通过这项漏洞取得权限。
好吧,除了最后一项以外看起来都没甚么。甚至第一项是自家小孩的话,也许就像PTT上说的一样「买程式书籍给他,看看未来能不能成为电脑工程师」。而最后一项的话,well,那就要考验各玩家对免费游戏的警觉性。而且既然都已经伪装成游戏,不如做更多直接的事就好?
然而还是要平衡一下这项资讯。如同Steam社群上点出的一个重点:Steam平台在程式执行上违反安全作法(给予过高权限)导致安全漏洞,这点Steam倒是难逃责任。所以他们修正了。虽然一开始给予的回复显得有些轻忽(包含自己还有在Steam社群中进行讨论的不少使用者也是,毕竟这骇入手法有些…多余?)。而如果Steam本身要把使用者变成挖矿机的话,well,希望Steam到时能分一点利润出来,或者干脆开放使用者入股挖矿事业如何?
最后顺题提醒一下各位要定期注意自己的帐号安全,包含巴哈的帐号。刚才自己在登入巴哈姆特时发现帐号有被人尝试登入,输入错误密码留下纪录。大家还是要多注意自己的帐号安全才行喔。
虽然这漏洞要恶用的条件严苛,出问题的机会不大
但既然消息已经传开,就不能排除有人会想尽办法去钻的可能
建议暂时先改用已修补的Beta版
进选项中启用「接受Beta更新」
至于Valve这次处理的手法
把用户回报驳回,拖延了一个多月才有动作这方面是没有什么借口,向来需要改进
可是阻止网友公开漏洞这点我觉得是值得探讨
一般看到这种情况,我会觉得这是厂商在遮丑,封锁负面消息
但经过了上个星期的ESA名单外漏事件之后
我的想法有些改变
这种安全漏洞的消息,公开揭发这方也有道德上的顾虑
Valve去阻止情报散布在某程度上是合理的
P.S. 如果有板友没看到上周的ESA新闻,我这里简单提一下
ESA (美国娱乐软体协会),也就是E3展的主办者,被网友找到在官网上藏有无加密的E3参与名单
名单上清楚记载著约2000名相关人士的个人资料.包括姓名,住址,email,电话号码
而部份媒体得知消息后,马上就大肆报导,网友们之间也一传十十传百
导致在ESA官方能反应处理之前,一些没有骇客技术,随便的阿猫阿狗都有办法取得该名单
这对女性独立游戏工作者,自由撰稿者,和Youtuber的人身安全造成非常大的危害
因为他们没有公司电话地址,只能填住家电话地址
很多人被迫换电话号码,甚至必须马上搬家
嗯~骇客还要摸到我家里面开我的电脑.....
这不是骇客是小偷了吧
而且我能让他得趁 那表示我家有比电脑被入侵还严重的治安问题
再怎样都没epic严重
==========================================================================
玩家信用卡遭盗刷!Epic Games面临集体诉讼
游戏平台「Epic Games Store」因泄漏个资而面临集体诉讼。
外媒「Polygon」报导,有上百位玩家透过Franklin D. Azar & Associates律师事务所向Epic Games提起集体诉讼,起诉原因为「未能保证平台使用者资料安全,并在玩家个人资料遭泄露后未及时通知用户」,有玩家在去年发现与Epic帐号绑定的信用卡有未授权的消费行为发生,即是俗称的「盗刷」。
以色列网路安全厂商Check Point调查后发现Epic Games后台有Bug,骇客只要透过跨网站指令码(Cross-site scripting,XSS)进行安全漏洞攻击,便可以获取Epic Games旗下热门游戏《要塞英雄》玩家的用户名称和密码,进而得到更多资讯,虽然Epic及时修复了Bug,但也已经造成了玩家损失。
除此之外,先前也有玩家爆料EpicStore在使用者不知情的情况下,在客户端收集玩家 Steam 使用数据、Cookie和根凭证等并回传至 Epic,进而分析资料并进行竞品解析的状况,也使得玩家对Epic Games的信任感一落千丈。
来源:新头壳newtalk
==========================================================================
我看这次epic呵呵了
基本上对于不懂电脑
无知的使用者眼里
就会相信这很严重
消息新闻一公布,
我身边有用的都说惨了
说steam也沦陷了
这年头资讯发达
先制造恐慌先赢
尽管后面作解释也有一定的伤害造成
这也是资讯网资讯战的恐怖
因为你获得的资讯
可能要花一段时间才能解读
而第一时间没有阻止
那资讯就会被不懂的人相信然后传给下一个错误资讯
加上很多人都只会看一次,很少会特地二次求证就造成三人成虎,就算是假的也被认为变成真的
以下为回答内容:
问题是今天在说的是Steam客户端的扩权漏洞吧,所以在那提钓鱼手法的意义在?
昨天才看到没想到就被贴上来xD
把它们养在这里还能当笑话看啊,隔一道墙就会开始繁殖进化ㄌ。epic吧出征,笑到往生
哈哈~
一篇大陆媒体的文章引用俄罗斯资安人员的发现...好喔。
嗨,对电脑骇客有兴趣的话,不如请您发表一篇专业的骇客文章在骇客论坛上让有兴趣的人针对您的论点好好讨论一番如何?在这里指出其他的可能对安全防护是没有实质帮助的喔…
自己就不对您的骇客论点进行深入讨论了
[Bentusi:星风]没事,我只是提醒一下你可能遗漏掉的选项,我没有意思要否定你列出这些可能性带来的实质帮助
恩,自己也只是提醒一下,文内也打出这些是目前看到的方式,所以感谢您的补充与对Steam社群的贡献。
平常宅宅喜欢噜枪的网站满满的危险木马病毒等
很明显你对白帽骇客完全不懂,如果STEAM永远照你的方式处理别人发现的漏洞,以后的骇客会选择制造另一次wannacry事件来教训这间公司。
说别人不懂、光说漏洞不说其无害性、明明是少数特例却滑坡成公司方针。 你的回复真的没有道理就只是用风向在玩,不奉陪。
怎么这么爱提勒索病毒,那又不是微软的问题= =
新更新没修不代表没处理,5天后修复也可能代表之前就在处理,公布后优先度提高先Beta版应急
[macnba:不期不伤]这就是我一直在讲的啊,但是某人"只看" "有公布的日期"
你忘了网咖还有喜欢到处灌steam玩游戏的人。
[kuoting:kuoting]那我佩服那些人的勇气 我可没那个胆量在公众电脑登入自己的帐号
当初办蒸气帐号正是在网咖里= =|||
[kuoting:kuoting]所以要用动态锁。
[Jiete:小助手≠小触手] 勇者 不过这漏洞是说会能控制你的电脑 那你在网咖中招 那被控制的也是网咖的电脑
他们有企鹅资助 死不了的
原来是100000000步笑50步阿
起诉原因为「未能保证平台使用者资料安全,并在玩家个人资料遭泄露后未及时通知用户」
EPIC的用户怎么会认为一个会在别个游戏平台偷取资料的平台会保证自己平台的安全呢
这个GDPR可罚 最高总营业额4% = 1.5亿镁 看欧盟要不要动而已
https://www.theverge.com/2015/12/25/10665814/valve-steam-holiday-sale-security-problems
个资外流事件都差不多,很难会看到实际灾情,就算是PSN程度的案件,也是赔几个游戏了事
就算没有这些游戏平台,盗刷和诈欺还是一直都很泛滥
因为把问题过度简化结果严重性反而不真实的提高,就像说个资外流结果实际只有生日出去,是能有多危险,一点屁用都没有的也确实是个资阿
这也是为何近年都推各种多重验证,当你的单一个资重要性越来越低,安全性自然就会越来越高,剩下的只是如何把过程简化和方便化