Steam

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

22. března vydal Steam pravidelnou aktualizaci, která opravovala překryvy ve hře a problémy s poškozenými položkami ve Steam Workshopu. Řešila také bezpečnostní chybu v klientské aplikaci, umožňující vzdálený přístupu k počítačům uživatelům, spočívající ve spouštění kódu a převzetí kontroly útočníkem.

Bezpečnostní expert Tom Court informoval o této chybě na svém blogu, kde vysvětluje způsob útoku na úrovni síťových paketů protokolu UDP. Pro názornost publikoval také video, ve kterém ukazuje takový útok v praxi. V tomto případě se jedná o neškodné spuštění aplikace kalkulačky, nicméně teoreticky bylo možné vyvolat na vzdáleném počítači prakticky jakýkoli kód a tím nad ním převzít kontrolu.

Naštěstí firma Valve Corporation, které Steam patří, začala jednat prakticky hned, jak se o zranitelnosti dozvěděla. Záplatu vydala do beta sestavení pouhých osm hodin po ohlášení, což je nesporně chvályhodný výkon. V červenci loňského roku proto implementovala do klientské aplikace bezpečnostní funkci známou jako ASLR. Aby hackeři mohli posílat škodlivé pakety, museli by se ke zneužití této chyby zabezpečení „nabourat“ do spojení mezi klientem a serverem Steamu. V praxi tedy nebyl útok na jednotlivé uživatele tak triviální, jak se na první pohled může zdát.

Objevitel zranitelnosti Court uvedl, že se jednalo o velmi jednoduchou chybu, jejíž zneužití bylo relativně přímočaré kvůli nedostatku moderních ochranných prostředků. Zranitelný kód byl pravděpodobně velmi starý, ale protože fungoval, vývojáři pravděpodobně neviděli žádný důvod do něj zasahovat. Kvůli tomu se uvedená bezpečnostní díra nacházela v klientské aplikaci dlouhých deset let, než byla objevena, nahlášena a opravena. V ohrožení tak bylo zhruba 125 milionů uživatelů této platformy pro digitální distribuci her a softwaru.

Společnost Valve Corporation se k problému veřejně nevyjádřila, nicméně poděkovala Courtovi v seznamu posledních provedených změn v březnové aktualizaci. Court situaci komentuje tak, že vývojáři by měli neustále kontrolovat starý a stárnoucí kód, aby měli jistotu, že odpovídá „moderním bezpečnostním normám“.

Diskuze (20) Další článek: Cortana dostane kamarádky. Google Asistentka s Alexou se podívají na Xbox One

Témata článku: Steam, Bezpečnost, Hacking, Kód, Starý kód, Objevitel, Cod Execution, Vzdálený přístup, Počítač uživatelů, Bezpečnostní expert, Zranitelný kód, Milión počítačů, Chyba, Hacker, Počítač, Březnová aktualizace, Aplikace, Dlouhý rok, Vzdálený počítač, Díra, První pohled, Loňský rok, Digitální distribuce, Síťový paket, Pouhá hodina


Určitě si přečtěte

10 věcí, které nás štvou na Windows 10 a bohužel asi jen tak nepřestanou

10 věcí, které nás štvou na Windows 10 a bohužel asi jen tak nepřestanou

** Windows 10 je na trhu 5 let, ale pořád má velké rezervy ** Ani desátá velká aktualizace, která vyjde na podzim, je nevyřeší ** Štvou nás Windows Update, Store, Nastavení atd.

Lukáš Václavík | 147

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

Nejjednodušší cesta, jak nepřijít o data: nastavte si zálohování a zapomeňte

** Přijít o důležitá data je jednodušší, než si umíte představit ** To, zda a jak snadno je získáte zpět, záleží především na vás ** Když si nastavíte zálohování, může to být otázka několik minut

Karel Kilián | 30

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

Google mapy, Seznam mapy, Apple mapy... Velké srovnání šesti internetových map. Kdo to dělá nejlépe?

** Která klasická webová mapa se vám líbí nejvíce? ** Srovnali jsme šest velkých služeb v několika situacích ** Hlasujte v anketě

Jakub Čížek | 81

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

ATM jackpotting: Když hacker ovládne bankomat a stačí mu jen pár sekund

** Klasický malware pro PC už dnes nikoho nepřekvapí ** Bankomaty jsou ale také počítače ** Útočí se na ně dodnes

Jakub Čížek | 8

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

Není jen Flightradar: Našli jsme další aplikace pro sledování letadel, některé ukážou i víc

** 8 služeb pro sledování leteckého provozu ** Nejznámější je Flightradar24, ale alternativy leckdy prozradí více ** Letadla i v této pohnuté době čile létají a je co pozorovat

Karel Kilián | 14


Aktuální číslo časopisu Computer

Megatest televizí do 25 000 Kč

Nejlepší herní klávesnice

Srovnání správců hesel

Jak upravit fotky pro tisk