Steam

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

22. března vydal Steam pravidelnou aktualizaci, která opravovala překryvy ve hře a problémy s poškozenými položkami ve Steam Workshopu. Řešila také bezpečnostní chybu v klientské aplikaci, umožňující vzdálený přístupu k počítačům uživatelům, spočívající ve spouštění kódu a převzetí kontroly útočníkem.

Bezpečnostní expert Tom Court informoval o této chybě na svém blogu, kde vysvětluje způsob útoku na úrovni síťových paketů protokolu UDP. Pro názornost publikoval také video, ve kterém ukazuje takový útok v praxi. V tomto případě se jedná o neškodné spuštění aplikace kalkulačky, nicméně teoreticky bylo možné vyvolat na vzdáleném počítači prakticky jakýkoli kód a tím nad ním převzít kontrolu.

Naštěstí firma Valve Corporation, které Steam patří, začala jednat prakticky hned, jak se o zranitelnosti dozvěděla. Záplatu vydala do beta sestavení pouhých osm hodin po ohlášení, což je nesporně chvályhodný výkon. V červenci loňského roku proto implementovala do klientské aplikace bezpečnostní funkci známou jako ASLR. Aby hackeři mohli posílat škodlivé pakety, museli by se ke zneužití této chyby zabezpečení „nabourat“ do spojení mezi klientem a serverem Steamu. V praxi tedy nebyl útok na jednotlivé uživatele tak triviální, jak se na první pohled může zdát.

Objevitel zranitelnosti Court uvedl, že se jednalo o velmi jednoduchou chybu, jejíž zneužití bylo relativně přímočaré kvůli nedostatku moderních ochranných prostředků. Zranitelný kód byl pravděpodobně velmi starý, ale protože fungoval, vývojáři pravděpodobně neviděli žádný důvod do něj zasahovat. Kvůli tomu se uvedená bezpečnostní díra nacházela v klientské aplikaci dlouhých deset let, než byla objevena, nahlášena a opravena. V ohrožení tak bylo zhruba 125 milionů uživatelů této platformy pro digitální distribuci her a softwaru.

Společnost Valve Corporation se k problému veřejně nevyjádřila, nicméně poděkovala Courtovi v seznamu posledních provedených změn v březnové aktualizaci. Court situaci komentuje tak, že vývojáři by měli neustále kontrolovat starý a stárnoucí kód, aby měli jistotu, že odpovídá „moderním bezpečnostním normám“.

Diskuze (20) Další článek: Cortana dostane kamarádky. Google Asistentka s Alexou se podívají na Xbox One

Témata článku: Bezpečnost, Hacking, Steam, Kód, Díra, Milión počítačů, Pravidelná aktualizace, Chyba, Dlouhý rok, Klientská aplikace, Digitální distribuce, První pohled, Vzdálený přístup, Loňský rok, Zranitelný kód, Objevitel, Aplikace, Pouhá hodina, Valve Corporation, Počítač, Starý kód, Bezpečnostní expert, Síťový paket, Vzdálený počítač, Březnová aktualizace


Určitě si přečtěte

Šmírování na Street View: Koukněte se, co zachytily kamery Googlu

Šmírování na Street View: Koukněte se, co zachytily kamery Googlu

Google stále fotí celý svět do své služby Street View. A novodobou zábavou je hledat v mapách Googlu vtipné záběry. Podívejte se na výběr nejlepších!

redakce | 45

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

Pojďme programovat elektroniku: Vyzkoušíme IR, ovládneme světýlko přes Bluetooth a vyšleme zprávu na sto metrů

** Budeme odposlouchávat IR ovladač klimatizace ** Vyrobíme laciný rádiový vysílač ** Vyzkoušíme komunikaci pomocí Bluetooth a v pásmu 433 MHz

Jakub Čížek | 20

Co udělat s novým počítačem s Windows, než ho začnete používat

Co udělat s novým počítačem s Windows, než ho začnete používat

** Čerstvě zakoupený počítač je vhodné trochu připravit ** Věnujte pozornost instalaci a předinstalovaným aplikacím ** Zamyslete se nad zálohou a antivirem

David Polesný | 83