Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

Hackeři mohli přes díru ve Steamu ovládnout miliony počítačů. Chyba byla v programu 10 let

22. března vydal Steam pravidelnou aktualizaci, která opravovala překryvy ve hře a problémy s poškozenými položkami ve Steam Workshopu. Řešila také bezpečnostní chybu v klientské aplikaci, umožňující vzdálený přístupu k počítačům uživatelům, spočívající ve spouštění kódu a převzetí kontroly útočníkem.

Bezpečnostní expert Tom Court informoval o této chybě na svém blogu, kde vysvětluje způsob útoku na úrovni síťových paketů protokolu UDP. Pro názornost publikoval také video, ve kterém ukazuje takový útok v praxi. V tomto případě se jedná o neškodné spuštění aplikace kalkulačky, nicméně teoreticky bylo možné vyvolat na vzdáleném počítači prakticky jakýkoli kód a tím nad ním převzít kontrolu.

Naštěstí firma Valve Corporation, které Steam patří, začala jednat prakticky hned, jak se o zranitelnosti dozvěděla. Záplatu vydala do beta sestavení pouhých osm hodin po ohlášení, což je nesporně chvályhodný výkon. V červenci loňského roku proto implementovala do klientské aplikace bezpečnostní funkci známou jako ASLR. Aby hackeři mohli posílat škodlivé pakety, museli by se ke zneužití této chyby zabezpečení „nabourat“ do spojení mezi klientem a serverem Steamu. V praxi tedy nebyl útok na jednotlivé uživatele tak triviální, jak se na první pohled může zdát.

Objevitel zranitelnosti Court uvedl, že se jednalo o velmi jednoduchou chybu, jejíž zneužití bylo relativně přímočaré kvůli nedostatku moderních ochranných prostředků. Zranitelný kód byl pravděpodobně velmi starý, ale protože fungoval, vývojáři pravděpodobně neviděli žádný důvod do něj zasahovat. Kvůli tomu se uvedená bezpečnostní díra nacházela v klientské aplikaci dlouhých deset let, než byla objevena, nahlášena a opravena. V ohrožení tak bylo zhruba 125 milionů uživatelů této platformy pro digitální distribuci her a softwaru.

Společnost Valve Corporation se k problému veřejně nevyjádřila, nicméně poděkovala Courtovi v seznamu posledních provedených změn v březnové aktualizaci. Court situaci komentuje tak, že vývojáři by měli neustále kontrolovat starý a stárnoucí kód, aby měli jistotu, že odpovídá „moderním bezpečnostním normám“.

Diskuze (20) Další článek: Cortana dostane kamarádky. Google Asistentka s Alexou se podívají na Xbox One

Témata článku: Bezpečnost, Steam, Hacking, Kód, Pravidelná aktualizace, Vzdálený počítač, Loňský rok, Klientská aplikace, Bezpečnostní expert, Aplikace, První pohled, Dlouhý rok, Starý kód, Díra, Pouhá hodina, Hacker, Březnová aktualizace, Milión počítačů, Počítač, Vzdálený přístup, Síťový paket, Chyba, Digitální distribuce, Valve Corporation, Zranitelný kód


Určitě si přečtěte

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

Intel vs. AMD: souboj vícejádrových procesorů začal. AMD zesměšňuje Intel neuvěřitelně nízkou cenou

** AMD představilo nové levné procesory až s 32jádry ** AMD útočí na serverový i domácí trh Intelu ** Intel nemá konkurenceschopnou nabídku

Karel Javůrek | 84

Sonda Dawn prolétá jen 35 km od trpasličí planety Ceres a posílá úchvatné fotografie!

Sonda Dawn prolétá jen 35 km od trpasličí planety Ceres a posílá úchvatné fotografie!

** Sonda Dawn zkoumá trpasličí planetu Ceres od března 2015 ** Sonda nyní přešla na novou dráhu, nejblíže se dostává k povrchu na vzdálenost jen 35 km ** Ceres je největší planetkou hlavního pásu mezi Marsem a Jupiterem

Petr Kubala | 4

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

Nová zbraň proti hackerům: obrovské množství chyb v softwaru

** Vědci vymysleli nový systém obrany proti hackerům ** Pomocí speciálního systému implementují do softwaru spoustu chyb ** Tyto chyby nejsou zneužitelné, což útočník zjistí až po čase

Karel Javůrek | 25


Aktuální číslo časopisu Computer

Jak mobily určují svoji polohu?

Velký test notebooků pro studenty

Nejlepší reproduktory na párty

Služby a aplikace pro výuku angličtiny