单机游戏频道

返回顶部
您的位置: 首页 >单机游戏 > 网传Steam出现安全漏洞玩家电脑可能会被当成矿机

网传Steam出现安全漏洞玩家电脑可能会被当成矿机

2019-08-09

根据reddit网友的爆料,安全研究员Vasily Kravets近日找到了Steam的重大安全漏洞。据报,一些不法分子甚至可以利用该漏洞将玩家的PC变为矿机。消息一出,立即引发了很多网友的注目。

据报,此次Steam出现的安全漏洞并不复杂:Steam出于某些内部目的(考虑到),便在玩家的电脑中安装了“Steam Client Service(Steam客户端服务)”。这意味著“用户”组的任何一位用户都可以启动或停止服务。

网传Steam出现安全漏洞 玩家电脑可能会被当作矿机

这是什么意思呢?

当Steam客户端运营时,将自动为一系列注册表项目的涉及权限提供许可,如果一些别有用心的人利用特殊手段(符号链接),将这些权限授予另外一种服务,那么给定一位用户都可以启动和暂停这项服务。这意味著,如果用户在电脑上加装了Steam,就能用于最低权限运营任何程序。

网传Steam经常出现安全漏洞 玩家电脑可能会被当成矿机

危害有多大?

根据安全研究员Vasily Kravets所言,这种漏洞的危险性在于:Steam此次安装的客户端服务(实际上是为了在用户电脑上运营第三方程序而设计的),将允许一些启动程序取得用户电脑的最低权限。玩家们或许都看见过Steam上的一些免费游戏(当然,有不少很垃圾),但是没有人需要保证:一些别有用心的人(或者是开发者)会通过漏洞玩家的电脑为挖矿服务。此外,由于这些程序享有了最高权限,一些潜在的危险还不会越过管理员权限,导致更大损害,例如:停止使用杀毒软件、隐藏和变更用户电脑的任何文件,甚至还可以窃取个人隐私。

网传Steam出现安全漏洞 玩家电脑可能会被当成矿机

早在6月15日,安全研究员Vasily Kravets通过HackerOne向Valve报告了这个漏洞,但是到了6月16日,HackerOne的员工却回应“不限于”,给出了一定的原因。经过辩论,7月20日,HackerOne工作人员再次将此次报告标记为“不适用”。到了8月7日,也就是安全研究员Vasily Kravets初次递交报告后的第45天,他不得不将这项漏洞公之于众,同时期望Steam开发人员及时修复。

Vasily Kravets表示:“我并不是第一个发现漏洞的人,但却是第一个展开分析的人。V社的态度令我感到惊讶,也让我深感沮丧。我从来没想要过,一家严谨的大公司居然对这样的漏洞得出了难以预料的恢复。我回应难以解读,也很难拒绝接受这家公司的作法。我不建议玩家们删除Steam,但是期望大家在使用的时候能多特注意。

网传Steam出现安全漏洞 玩家电脑可能会被当作矿机

然而,这件事情其实还没完。

7月20日,当Vasily Kravets的漏洞报告被拒绝接受后,他曾经通知涉及人员(HackerOne员工),将在7月30日之后公布漏洞信息;

8月2日,一位HackerOne员工禁令Vasily Kravets透漏更多细节;

8月6日,Steam展开了更新,但是并没修复涉及的漏洞;

值得一提的是,此前曾有独立国家游戏《Abstractism》疑为捆绑用户“挖矿” 被Steam强制下架。至于V社何时解决漏洞并做出进一步对此,还请求关注我们的后续报道。(感兴趣的玩家可以通过此链接来了解更多详情)

标签 Steam Ste
相关阅读