Steam: Znaleziono "dziury", firma od zabezpieczeń ostrzega
ReVuln, firma zajmująca się analizą systemów informatycznych pod kątem potencjalnych luk, możliwych do wykorzystania przez hakerów, pochyliła się ostatnio nad należącą od firmy Valve usługą Steam. Kto szuka ten znajdzie - okazuje się, że Steam ma "dziury"!
Szczegółowy opis znalezionej luki można znaleźć w raporcie opublikowanym przez ReVuln - TUTAJ.
W skrócie polega ona na tym, że część funkcji wykonywanych przez Steam z poziomu wybranych przeglądarek internetowych, jest dla użytkowników niewidoczna – można więc ukryć w ten sposób również polecenia zaplanowane przez internetowych szkodników. Żaden komunikat nie pojawia się przy korzystaniu z przeglądarek Safari, Webkit, MaxThon, Avant i Lunascape; Firefox pokazuje tylko proste okienko z prośbą o potwierdzenie działania (ale w żaden sposób nie ostrzega, że może być ono niebezpieczne), zaś Chrome, Opera i Internet Explorer dodają do tego komunikat o zagrożeniu, który jednak nie zawsze jest w pełni czytelny.
Co prawda Steam nie daje hakerom narzędzi do uruchamiania tych poleceń na niezarażonych komputerach, ale niedopatrzenie administratorów systemu pozwala schować je np. w kodzie uruchamianym przez samych użytkowników, gdy klikają na tytuł filmu z YouTube'a, które użytkownicy mogą wrzucać na serwis. Warto więc powstrzymać się przed korzystaniem z nich. Tym bardziej, że jeśli haker uzyska dostęp do komputera gracza, odwołując się do zainstalowanych na jego komputerze aplikacji (np. opartych na silniku Source lub Unreal Engine - przykłady te opisuje dokument firmy ReVlun) może przejąć nad nim całkowitą kontrolę.
Osoby zainteresowane tematem powinny zapoznać się ze zlinkowanym powyżej dokumentem - a także z poniższym filmem, który pokazuje, że lukę rzeczywiście da się wykorzystać:
ReVuln - Steam Browser Protocol Insecurity from ReVuln on Vimeo.