Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

22. března vydal Steam pravidelnou aktualizaci, která opravovala překryvy ve hře a problémy s poškozenými položkami ve Steam Workshopu. Řešila také bezpečnostní chybu v klientské aplikaci, umožňující vzdálený přístupu k počítačům uživatelům, spočívající ve spouštění kódu a převzetí kontroly útočníkem.

Bezpečnostní expert Tom Court informoval o této chybě na svém blogu, kde vysvětluje způsob útoku na úrovni síťových paketů protokolu UDP. Pro názornost publikoval také video, ve kterém ukazuje takový útok v praxi. V tomto případě se jedná o neškodné spuštění aplikace kalkulačky, nicméně teoreticky bylo možné vyvolat na vzdáleném počítači prakticky jakýkoli kód a tím nad ním převzít kontrolu.

Naštěstí firma Valve Corporation, které Steam patří, začala jednat prakticky hned, jak se o zranitelnosti dozvěděla. Záplatu vydala do beta sestavení pouhých osm hodin po ohlášení, což je nesporně chvályhodný výkon. V červenci loňského roku proto implementovala do klientské aplikace bezpečnostní funkci známou jako ASLR. Aby hackeři mohli posílat škodlivé pakety, museli by se ke zneužití této chyby zabezpečení „nabourat“ do spojení mezi klientem a serverem Steamu. V praxi tedy nebyl útok na jednotlivé uživatele tak triviální, jak se na první pohled může zdát.

Objevitel zranitelnosti Court uvedl, že se jednalo o velmi jednoduchou chybu, jejíž zneužití bylo relativně přímočaré kvůli nedostatku moderních ochranných prostředků. Zranitelný kód byl pravděpodobně velmi starý, ale protože fungoval, vývojáři pravděpodobně neviděli žádný důvod do něj zasahovat. Kvůli tomu se uvedená bezpečnostní díra nacházela v klientské aplikaci dlouhých deset let, než byla objevena, nahlášena a opravena. V ohrožení tak bylo zhruba 125 milionů uživatelů této platformy pro digitální distribuci her a softwaru.

Společnost Valve Corporation se k problému veřejně nevyjádřila, nicméně poděkovala Courtovi v seznamu posledních provedených změn v březnové aktualizaci. Court situaci komentuje tak, že vývojáři by měli neustále kontrolovat starý a stárnoucí kód, aby měli jistotu, že odpovídá „moderním bezpečnostním normám“.

Diskuze (20) Další článek: Cortana dostane kamarádky. Google Asistentka s Alexou se podívají na Xbox One

Témata článku: Bezpečnost, Steam, Hacking, Kód, Síťový paket, První pohled, Bezpečnostní expert, Loňský rok, Vzdálený počítač, Aplikace, Digitální distribuce, Chyba, Díra, Klientská aplikace, Milión počítačů, Vzdálený přístup, Zranitelný kód, Dlouhý rok, Valve Corporation, Hacker, Březnová aktualizace, Pouhá hodina, Starý kód, Pravidelná aktualizace, Počítač


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 120

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 56

WALL-E vyfotil Zemi ze vzdálenosti 1 milionů km

WALL-E vyfotil Zemi ze vzdálenosti 1 milionů km

** Malá sonda s přezdívkou WALL-E pořídila fotografii Země a Měsíce ze vzdálenosti 1 milionů km ** CubeSat letí se sondou InSight k Marsu ** InSight přistane na Marsu 26. listopadu

Petr Kubala | 4

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

Našli jsme 22 schopných internetových prohlížečů: Vyberte si, který vám nejvíc sedne

** Není jen Chrome, Firefox, Edge či Opera. Na výběr máte mnohem více! ** Internetové prohlížeče se liší funkcemi, zaměřením i designem. Našli jsme 22 použitelných prohlížečů pro Windows ** Vyberte si prohlížeč, který vám bude nejvíce vyhovovat

Karel Kilián | 30

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

** Nejprve svoji velkou dílnu otevřelo Brno ** Letos se přidala i Praha ** Nabízí malé 3D tiskárny i velké průmyslové stroje

Jakub Čížek | 11

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

Google ADT-2: Miniaturní krabička s Android TV 8.0, kterou si nikdy nekoupíte

** Dlouho se nevědělo, co to přesně má být ** Pak se s krabičkou Google pochlubil na I/O ** Do „Chromecastu“ vtěsnal celý Android TV

Jakub Čížek | 22


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?