去年12月推出漫威競爭對手仍然總是非常受歡迎:它超過了230,000個Steam播放器,同時連接了,這無需計算控制台版本。這樣的成功可以吸引海盜,不幸的是,在安全方面,遊戲並非完美無瑕。
巨大的成功,巨大的脆弱性
安全研究員和YouTubeur Shalzuth擁有尋找如果利用它,這是一個錯誤,將允許黑客將惡意代碼注入受害者的PC,竊取機密數據,甚至可以在沒有用戶意識到的情況下安裝危險軟件。換句話說,黑客能夠完全控制遠程PC(甚至PS5)。
Shalzuth在演奏時注意到了一些吸引人的東西:遊戲商店在不更新客戶的情況下冷卻。通過分析補丁系統,他發現遊戲允許執行外部代碼,打開了RCE(遠程代碼執行)攻擊的大門,該攻擊允許在目標設備上遠程啟動任意代碼。
漏洞是此更新系統在計算機上運行代碼,而無需檢查服務器是否合法。同一Wi-Fi網絡上的海盜可以使用此弱點來注入惡意代碼並控制計算機。遊戲具有管理員特權,這使它訪問了計算機的腸子。
在他的視頻中,研究人員展示了這一錯誤的可行性:他的辦公室PC實際上擁有筆記本電腦。為了使它工作,黑客仍然有必要被與受害者的Wi-Fi網絡覆蓋。如果後者使用公共網絡(咖啡,大學,即使在休息期間的辦公室)使用,這並非不可能。
Shalzuth保留了不嘗試任何人的秘密故事的細節,他很遺憾警告NetEase非常複雜,遊戲開發人員沒有確認該缺陷會很快糾正。更普遍地,這是視頻遊戲領域的一個嚴重問題,在發現安全漏洞的情況下,開發人員很少設置錯誤狩獵程序或系統以防止。
