根據reddit網友的爆料,安全研究員Vasily Kravets近日發現了Steam的重大安全漏洞。據悉,一些不法分子甚至可以利用該漏洞將玩家的PC變成礦機。消息一出,立即引發了很多網友的關注。
據悉,此次Steam出現的安全漏洞並不複雜:Steam出於某些內部目的(考慮),便在玩家的電腦中安裝了「Steam Client Service(Steam客戶端服務)」。這意味著「用戶」組的任何一位用戶都可以啟動或停止服務。
這是什麼意思呢?
當Steam客戶端運行時,將自動為一系列註冊表項目的相關權限提供許可,如果一些別有用心的人利用特殊手段(符號連結),將這些權限授予另外一種服務,那麼任意一位用戶都可以啟動和停止這項服務。這意味著,如果用戶在電腦上安裝了Steam,就能使用最高權限運行任何程序。
危害有多大?
根據安全研究員Vasily Kravets所言,這種漏洞的危險性在於:Steam此次安裝的客戶端服務(實際上是為了在用戶電腦上運行第三方程序而設計的),將允許一些啟動程序獲得用戶電腦的最高權限。玩家們或許都看到過Steam上的一些免費遊戲(當然,有不少很垃圾),但是沒有人能夠保證:一些別有用心的人(或者是開發者)不會通過漏洞讓玩家的電腦為挖礦服務。此外,由於這些程序擁有了最高權限,一些潛在的危險還會越過管理員權限,造成更大損害,例如:禁用殺毒軟體、隱藏和更改用戶電腦的任何文件,甚至還可以竊取個人隱私。
早在6月15日,安全研究員Vasily Kravets通過HackerOne向Valve報告了這個漏洞,但是到了6月16日,HackerOne的員工卻表示「不適用」,給出了一定的原因。經過討論,7月20日,HackerOne工作人員再次將此次報告標記為「不適用」。到了8月7日,也就是安全研究員Vasily Kravets初次提交報告後的第45天,他不得不將這項漏洞公之於眾,同時希望Steam開發人員及時修復。
Vasily Kravets表示:「我並不是第一個發現漏洞的人,但卻是第一個進行分析的人。V社的態度令我感到驚訝,也讓我感到失望。我從來沒想過,一家嚴謹的大公司居然對這樣的漏洞給出了難以預料的回覆。我表示難以理解,也很難接受這家公司的做法。我不建議玩家們刪除Steam,但是希望大家在使用的時候能多加注意。」
然而,這件事情其實還沒完。
7月20日,當Vasily Kravets的漏洞報告被拒絕後,他曾經通知相關人員(HackerOne員工),將在7月30日之後公布漏洞信息;
8月2日,一位HackerOne員工禁止Vasily Kravets透露更多細節;
8月6日,Steam進行了更新,但是並沒有修復相關的漏洞;
值得一提的是,此前曾有獨立遊戲《Abstractism》疑似捆綁用戶「挖礦」 被Steam強制下架。至於V社何時解決漏洞並做出進一步回應,還請關注我們的後續報導。(感興趣的玩家可以通過此連結來了解更多詳情)