去年12月推出漫威竞争对手仍然总是非常受欢迎:它超过了230,000个Steam播放器,同时连接了,这无需计算控制台版本。这样的成功可以吸引海盗,不幸的是,在安全方面,游戏并非完美无瑕。
巨大的成功,巨大的脆弱性
安全研究员和YouTubeur Shalzuth拥有寻找如果利用它,这是一个错误,将允许黑客将恶意代码注入受害者的PC,窃取机密数据,甚至可以在没有用户意识到的情况下安装危险软件。换句话说,黑客能够完全控制远程PC(甚至PS5)。
Shalzuth在演奏时注意到了一些吸引人的东西:游戏商店在不更新客户的情况下冷却。通过分析补丁系统,他发现游戏允许执行外部代码,打开了RCE(远程代码执行)攻击的大门,该攻击允许在目标设备上远程启动任意代码。
漏洞是此更新系统在计算机上运行代码,而无需检查服务器是否合法。同一Wi-Fi网络上的海盗可以使用此弱点来注入恶意代码并控制计算机。游戏具有管理员特权,这使它访问了计算机的肠子。
在他的视频中,研究人员展示了这一错误的可行性:他的办公室PC实际上拥有笔记本电脑。为了使它工作,黑客仍然有必要被与受害者的Wi-Fi网络覆盖。如果后者使用公共网络(咖啡,大学,即使在休息期间的办公室)使用,这并非不可能。
Shalzuth保留了不尝试任何人的秘密故事的细节,他很遗憾警告NetEase非常复杂,游戏开发人员没有确认该缺陷会很快纠正。更普遍地,这是视频游戏领域的一个严重问题,在发现安全漏洞的情况下,开发人员很少设置错误狩猎程序或系统以防止。
