Steam重大安全漏洞電腦可能變成礦機

Steam

根據reddit網友的爆料,安全研究員Vasily Kravets近日發現了Steam的重大安全漏洞。據悉,一些不法分子甚至可以利用該漏洞將玩家的PC變成礦機。消息一出,立即引發了很多網友的關注。

據悉,此次Steam出現的安全漏洞並不復雜:Steam出於某些內部目的(考慮),便在玩家的電腦中安裝了“Steam Client Service(Steam客戶端服務)”。這意味著“用戶”組的任何一位用戶都可以啟動或停止服務。

這是什麼意思呢?

當Steam客戶端運行時,將自動為一系列註冊表項目的相關權限提供許可,如果一些別有用心的人利用特殊手段(符號鏈接),將這些權限授予另外一種服務,那麼任意一位用戶都可以啟動和停止這項服務。這意味著,如果用戶在電腦上安裝了Steam,就能使用最高權限運行任何程序。

危害有多大?

根據安全研究員Vasily Kravets所言,這種漏洞的危險性在於:Steam此次安裝的客戶端服務(實際上是為了在用戶電腦上運行第三方程序而設計的),將允許一些啟動程序獲得用戶電腦的最高權限。玩家們或許都看到過Steam上的一些免費遊戲(當然,有不少很垃圾),但是沒有人能夠保證:一些別有用心的人(或者是開發者)不會通過漏洞讓玩家的電腦為挖礦服務。此外,由於這些程序擁有了最高權限,一些潛在的危險還會越過管理員權限,造成更大損害,例如:禁用殺毒軟件、隱藏和更改用戶電腦的任何文件,甚至還可以竊取個人隱私。

早在6月15日,安全研究員Vasily Kravets通過HackerOne向Valve報告了這個漏洞,但是到了6月16日,HackerOne的員工卻表示“不適用”,給出了一定的原因。經過討論,7月20日,HackerOne工作人員再次將此次報告標記為“不適用”。到了8月7日,也就是安全研究員Vasily Kravets初次提交報告後的第45天,他不得不將這項漏洞公之於眾,同時希望Steam開發人員及時修復。

Vasily Kravets表示:“我並不是第一個發現漏洞的人,但卻是第一個進行分析的人。V社的態度令我感到驚訝,也讓我感到失望。我從來沒想過,一家嚴謹的大公司居然對這樣的漏洞給出了難以預料的回复。我表示難以理解,也很難接受這家公司的做法。我不建議玩家們刪除Steam,但是希望大家在使用的時候能多加註意。 ”

然而,這件事情其實還沒完。

7月20日,當Vasily Kravets的漏洞報告被拒絕後,他曾經通知相關人員(HackerOne員工),將在7月30日之後公佈漏洞信息;

8月2日,一位HackerOne員工禁止Vasily Kravets透露更多細節;

8月6日,Steam進行了更新,但是並沒有修復相關的漏洞;

值得一提的是,此前曾有獨立遊戲《Abstractism》疑似捆綁用戶“挖礦” 被Steam強制下架。至於V社何時解決漏洞並做出進一步回應,還請關注我們的後續報導。(感興趣的玩家可以通過此鏈接來了解更多詳情)

Share on FacebookShare on Google+Tweet about this on TwitterShare on TumblrShare on LinkedInEmail this to someonePrint this page

《高達破壞者》新要素情報

本次日站公開了預定於PSV以及PS3平台發售的遊戲《高達破壞者》的最新速報新聞,本次公開的是通過遊戲β版測試後的一些改良點以及遊戲新的追加要素,還有存檔繼承的相關情報。 β版的改良與檢討點包括追加新的隊長與...
Read More