Η Valve ανακοίνωσε την εφαρμογή πρόσθετων μέτρων ασφαλείας για προγραμματιστές που δημοσιεύουν παιχνίδια στο Steam, συμπεριλαμβανομένων κωδικών επιβεβαίωσης που βασίζονται σε SMS. Αυτό γίνεται για την αντιμετώπιση μιας πρόσφατης εστίας κακόβουλων ενημερώσεων που ωθούν κακόβουλο λογισμικό από παραβιασμένους λογαριασμούς εκδοτών.
Το Steamworks είναι ένα σύνολο εργαλείων και υπηρεσιών που χρησιμοποιούν οι προγραμματιστές και οι εκδότες παιχνιδιών/λογισμικού για τη διανομή των προϊόντων
του
ς στην
πλατφόρμα
Steam.
Υποστηρίζει DRM (διαχείριση ψηφιακών δικαιωμάτων), multiplayer, video streaming, matchmaking, σύστημα επιτευγμάτων, φωνή και συνομιλία εντός παιχνιδιού, μικροσυναλλαγές, στατιστικά στοιχεία, αποθήκευση cloud και κοινή χρήση περιεχομένου από την κοινότητα (Steam Workshop).
Από τα τέλη Αυγούστου και μέχρι τον Σεπτέμβριο του 2023, υπήρξε αυξημένος αριθμός αναφορών σχετικά με παραβιασμένους λογαριασμούς Steamworks και τους εισβολείς που ανεβάζουν κακόβουλες εκδόσεις που μολύνουν τους παίκτες με κακόβουλο λογισμικό.
Η Valve διαβεβαίωσε την κοινότητα του gaming ότι ο αντίκτυπος αυτών των επιθέσεων περιορίστηκε σε μερικές εκατοντάδες χρήστες, οι οποίοι ενημερώθηκαν μεμονωμένα για την πιθανή παραβίαση μέσω ειδοποιήσεων που έστειλε η εταιρεία.
Η ειδοποίηση στάλθηκε στους επηρεασμένους παίκτες
(
@SteamDB
)
Για να περιορίσει αυτό το πρόβλημα, η Valve θα επιβάλει έναν νέο έλεγχο ασφαλείας που βασίζεται σε SMS από τις 24 Οκτωβρίου 2023, τον οποίο οι προγραμματιστές παιχνιδιών πρέπει να περάσουν πριν προωθήσουν μια ενημέρωση στον προεπιλεγμένο κλάδο κυκλοφορίας (όχι εκδόσεις
beta
).
Η ίδια απαίτηση θα επιβληθεί όταν κάποιος επιχειρήσει να προσθέσει νέους χρήστες στην ομάδα συνεργατών του Steamworks, η οποία προστατεύεται ήδη από επιβεβαίωση μέσω
email
. Από τις 24 Οκτωβρίου, ο διαχειριστής της ομάδας πρέπει να επαληθεύσει την ενέργεια με έναν κωδικό SMS.
“Στο πλαίσιο μιας ενημέρωσης ασφαλείας, οποιαδήποτε ρύθμιση λογαριασμού Steamworks δημιουργείται ζωντανά στον προεπιλεγμένο/δημόσιο κλάδο μιας εφαρμογής που έχει κυκλοφορήσει θα πρέπει να έχει έναν αριθμό τηλεφώνου συσχετισμένο με τον λογαριασμό του, ώστε το Steam να σας στείλει έναν κωδικό επιβεβαίωσης πριν συνεχίσει.”
αναφέρει η ανακοίνωση της Valve
από τις αρχές αυτής της εβδομάδας.
“Το ίδιο θα ισχύει για οποιονδήποτε λογαριασμό Steamworks που χρειάζεται να προσθέσει νέους χρήστες. Αυτή η αλλαγή θα είναι διαθέσιμη στις 24 Οκτωβρίου 2023, επομένως φροντίστε να προσθέσετε έναν αριθμό τηλεφώνου στον λογαριασμό σας τώρα.”
“Σχεδιάζουμε επίσης να προσθέσουμε αυτήν την απαίτηση για άλλες ενέργειες Steamworks στο μέλλον.”
Για όσους χρησιμοποιούν το SetAppBuildLive API, το Steam το έχει ενημερώσει ώστε να απαιτείται ένα steamID για επιβεβαίωση, ιδιαίτερα για αλλαγές στον προεπιλεγμένο κλάδο μιας εφαρμογής που έχει κυκλοφορήσει.
Η χρήση του ‘steamcmd’ για τη ζωντανή ρύθμιση των εκδόσεων δεν ισχύει πλέον για τη διαχείριση του προεπιλεγμένου κλάδου των εφαρμογών που έχουν κυκλοφορήσει.
Επίσης, η Valve λέει ότι δεν θα υπάρξει λύση για προγραμματιστές χωρίς αριθμό τηλεφώνου, επομένως πρέπει να βρουν έναν τρόπο να λαμβάνουν μηνύματα κειμένου για να συνεχίσουν να δημοσιεύουν στην πλατφόρμα.
Δεν είναι τέλεια λύση
Αν και η εισαγωγή της επαλήθευσης που βασίζεται σε SMS είναι ένα καλό βήμα προς την επίτευξη καλύτερης ασφάλειας της εφοδιαστικής αλυσίδας στο Steam, το σύστημα απέχει πολύ από το τέλειο.
Ένας από τους προγραμματιστές παιχνιδιών, ο Benoît Freslon, εξήγησε ότι είχε μολυνθεί από ένα κακόβουλο λογισμικό κλοπής πληροφοριών που χρησιμοποιήθηκε για την κλοπή των διαπιστευτηρίων του.
Χρησιμοποιώντας αυτά τα κλεμμένα διαπιστευτήρια, ο ηθοποιός απειλών ώθησε για λίγο μια κακόβουλη ενημέρωση για τον ιό NanoWar: Cells VS που μόλυνε τους παίκτες με κακόβουλο λογισμικό.
Ο Freslon εξήγησε στο Twitter ότι το νέο μέτρο ασφαλείας MFA που βασίζεται σε SMS της Valve δεν θα είχε βοηθήσει να σταματήσει η επίθεση, καθώς το κακόβουλο λογισμικό που κλέβει πληροφορίες άρπαξε κουπόνια συνεδρίας σε όλους τους λογαριασμούς του.
Σε ξεχωριστό
ανάρτηση στην ιστοσελίδα του
ο προγραμματιστής του παιχνιδιού εξήγησε ότι η επίθεση σημειώθηκε στο Discord, με τους ηθοποιούς να τον ξεγελούν για να κατεβάσει και να ελέγξει ένα παιχνίδι Unity με το όνομα “Extreme Invaders”.
Το πρόγραμμα εγκατάστασης του παιχνιδιού έριξε ένα κακόβουλο λογισμικό κλοπής κωδικού πρόσβασης στον υπολογιστή του, το οποίο στόχευε τους λογαριασμούς του Discord, Steam, Twitch, Twitter και άλλους.
Μέχρι να ανακληθούν ή να λήξουν τα διακριτικά, οι εισβολείς συνέχισαν να έχουν πρόσβαση στους λογαριασμούς του προγραμματιστή, παραμένοντας ελεύθεροι να προωθήσουν ενημερώσεις παιχνιδιών με κακόβουλο λογισμικό στους παίκτες.
Επίσης, το SMS 2FA είναι εγγενώς ευάλωτο σε επιθέσεις ανταλλαγής SIM όπου οι φορείς απειλών μπορούν να μεταφέρουν τον αριθμό ενός προγραμματιστή παιχνιδιών σε μια νέα SIM και να παρακάμψουν το μέτρο ασφαλείας.
Μια καλύτερη και πιο σύγχρονη λύση θα ήταν η επιβολή εφαρμογών ελέγχου ταυτότητας ή φυσικών κλειδιών ασφαλείας, ειδικά για έργα με μεγάλες κοινότητες.
VIA:
bleepingcomputer.com
