《絕對武力:全球攻勢》邀請連結有漏洞,遊戲引擎公司仍未修好

駭客可以利用《絕對武力:全球攻勢》(CS:GO)遊戲伺服器中的 bug,誘騙使用者點擊其 Steam 邀請連結,達到入侵並控制使用者電腦的目的。
評論
評論

打電動也要注意資安!根據外媒報導,駭客可以利用《絕對武力:全球攻勢》(Counter Strike: Global Offensive, CS:GO)遊戲伺服器中的 bug,誘騙使用者點擊其 Steam 邀請連結,達到入侵並控制使用者電腦的目的。

這個 bug 從何而來?其實最早在 2019 年,就有資安研究機構提醒軟體公司 Valve 這個漏洞。Valve 就是開發真 3D 遊戲引擎 Source 的製作公司,不只用於《絕對武力:全球攻勢》,也用於《絕地要塞 2》(Team Fortress 2)等知名第一人稱 3D 射擊遊戲。

雖然這項錯誤已經在某些使用 Source 引擎的遊戲中被修復,但仍舊存在在《絕對武力:全球攻勢》中。研究人員弗洛里安(Florian)更用影片示範:

弗洛里安嘗試透過抓漏專案(bug bounty)服務 HackerOne 和 Valve 聯繫,但弗洛里安認為 Valve 的回應速度實在太慢,「老實說我很失望,因為他們大部分的時間都不理我」。目前 Valve 公關部門尚未對此置評。

弗洛里安進一步解釋該漏洞,駭客能利用此漏洞自動傳播,就像寄生蟲一樣一傳十、十傳百。而不幸中的大幸是,根據弗洛里安研究顯示,目前只剩下《絕對武力:全球攻勢》還存在這項 bug,其他遊戲已經解決這項漏洞。

「一旦你將這個病毒感染給別人的電腦,它就能被武器化,傳染給用戶所有的朋友,以及更多的人。」

這並不是 Valve 第一次對漏洞回報反應緩慢。在 2018 年,一名資安研究人員在 Steam 上發現一個漏洞,該漏洞可讓駭客接管受害者的電腦,而這個漏洞居然已經存在十年之久!這也讓使用者在遊玩射擊遊戲時,又多了一層疑慮。

核稿編輯:Anny

延伸閱讀:



【AWS 新創系列】QUICKSTART 開發者示範工作坊

專為初步瞭解雲端以及 AWS 初學者舉辦的手把手示範教學課程,內容將涵蓋對 AWS 的簡單介紹和 AWS 核心服務的使用,資源和服務的訪問權限管理服務 ,並實機展示如何利用這些基礎服務在虛擬機、備份和恢復數據等等。
評論
Photo Credit:TNL Brand Studio
評論

立即報名工作坊

本課程為期一天,專為初步瞭解雲端以及 AWS 初學者舉辦的手把手示範教學課程,內容將涵蓋對 AWS 的簡單介紹和 AWS 核心服務(例如 Amazon S3,Amazon EC2)的使用,資源和服務的訪問權限管理服務 AWS Identity and Access Management(IAM),並實機展示如何利用這些基礎服務在虛擬機、備份和恢復數據等等。

此課程適合剛註冊 AWS 帳戶的開發者,您將從此活動學習到以下示範的實作內容:
· 如何建立 AWS 帳號及安全的設定存取權限
· 如何將網站從 On-premise 上雲後,架設簡單, 安全的三層式架構(Web, Application, Database)
· 如何妥善管理雲端環境和追蹤存取狀況
· 利用 Billing Alarm 有效配置雲端服務容量

適合對象:
此課程適合各種程度的聽眾,推薦參加對象為: AWS 開發者、DevOps 管理人員、系統管理者及對 AWS 架構欲深入了解的新創團隊。

活動講師:
AWS 架構師團隊

活動資訊:
日期:2021.5.18(二)
時間:10:00-17:00

立即報名工作坊