发现可远程控制玩家电脑的Steam漏洞，Valve 7500美元奖励上报人

　　雷锋网(公众号：雷锋网)1月10日消息，一位网络安全研究人员发现Valve的Steam软件存在一个漏洞，黑客可以借此控制用户的个人电脑，目前Valve已经修复了该漏洞。事后，上报人获得了来自Valve的7500美元奖励。

　　最先发现这个漏洞的是托马斯·沙德韦尔(Thomas Shadwell)，他是一位热心肠的白帽黑客小哥。根据Shadwell的说法，利用这个漏洞的最好方法是发布一个署名为游戏玩家的链接，当点击该链接时，就会启动攻击代码，并将受害者电脑的控制权交给黑客。

　　“Bug出现在Steam聊天功能中，黑客一旦得手，Steam内部用来打开用户电脑文件的功能将被盗取，最坏的情况是可以全程操控用户的电脑系统。然后他们可以用赎金软件使电脑无法使用。”

　　显然，Valve已经不是第一次遇到这种情况了。去年7月，开发者Tyler Glaie利用Steam的漏洞计算出了超过1.3万款游戏的玩家数量，并在外媒arstechnica上公布了这份标注着各游戏玩家数量的表单。

　　Shadwell分析：“随着视频、游戏行业的发展，Valve的Steam门户网站已成为当下最热门的游戏下载集中地之一，这使得它成为黑产眼中的香饽饽。黑客往往利用玩家对平台的信任感进行诈骗，其目标正是用户的私人数据信息。”

　　值得庆幸的是，Shadwell在第一时间通知了Valve，后者也已经将漏洞修复。Shadwell说：“总的来说，Steam Chat的构建考虑到了良好的安全性，Valve明智的做法是将新的安全设计方法同样应用于其系统的陈旧部分，这就杜绝了黑客钻系统升级空子的可能性。”

　　但正如上面所说，面对Valve这块“大蛋糕”黑产往往不会轻易选择放弃。因此，Shadwell也尝试提醒Valve多加小心，因为对Steam心怀不轨的黑客们很有可能正奋力寻求新的漏洞以实现计划。

　　他说：“Steam仍是网络犯罪的主要目标，因为Steam游戏中的虚拟物品蕴含着大量的真实价值，所以Steam上已经出现了许多网络犯罪类型的活动——Steam上的用户以盗取他人账户并清算与该账户相关的资产为生。”

　　来源：forbes

　　雷锋网原创文章，未经授权禁止转载。详情见转载须知。

https://www.leiphone.com/news/201901/xD96rk9PlH0RhEC6.html