首页 >热门资讯> H5制作 > 陌生人邀请我加入CS:GO游戏,我一接受就被盗号了 >

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

转载时间:2021.09.17(原文发布时间:2021.04.16)
280
转载作者:36氪企服点评小编
阅读次数:280次

编者按:本文来自微信公众号“量子位”(ID:QbitAI),作者:梦晨,36氪经授权发布。

咳咳,敲黑板,CS:GO玩家们注意啦!

《反恐精英:全球行动》这款游戏,被曝有远程代码执行漏洞(Remote Code Execute,以下简称RCE),让攻击者仅凭Steam游戏邀请就能接管你的电脑。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

△黑客远程调用了被攻击电脑的计算器

据白帽子黑客组织Secret Club称,漏洞存在于CS:GO使用的起源引擎里,两年前就已报告给游戏制作商V社。

现在只能确定CS:GO里还有这个漏洞,军团要塞2已修复,其它使用起源引擎的游戏情况不明。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

攻击者可制作病毒通过Steam好友列表传播,玩家恍然大悟,原来这就是一直有机器人账号一直问我玩不玩CS:GO的原因啊。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

CS:GO拥有规模庞大的游戏内物品交易市场,很多玩家账号中存有价值高昂的虚拟物品,一旦被攻击可能带来财产损失。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

对此,我们建议不要理睬陌生人的起源引擎游戏邀请,以及不要点击其它通过Steam好友消息发出的不明链接。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

CS:GO目前是Steam游戏平台上同时在线玩家最多的游戏,拥有规模庞大的电竞赛事,是V社旗下最赚钱的游戏之一。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

V社发言人目前没有表态。

V社懒得很

两年前Secret Club成员发现这个漏洞时就提交到了全球漏洞赏金平台HackerOne上。

公司可以在这个平台发布悬赏奖励给在他们的产品中发现安全隐患的黑客。V社平均对每个悬赏支付750美元。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

V社对提交的漏洞态度从来都是支付赏金了事,既不回应具体情况,也不给修复。

Secret Club中多名成员都遭遇过这种冷处理,SteamDB的创始人Pavel Djundik也证实这一点。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

热心的黑客们最后纷纷选择把漏洞公开。

起源引擎游戏中光RCE漏洞就有很多个,另一位黑客Bien Pham也趁此机会曝光了他发现的RCE漏洞,通过连接到恶意的私人游戏服务器触发。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

连接正常的服务器,但玩了恶意的游戏地图也有RCE漏洞。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

除了游戏,Steam客户端也存在RCE漏洞。而且这个漏洞持续存在了10年之久,直到18年4月才被修复。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

这个可以获得任意Steam游戏激活码的漏洞修复的倒是挺快。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

程序员在线崩溃

最后,再说一说带来这个bug的起源引擎本身。

起源引擎是一个古老的游戏引擎,于2004年诞生,半条命2是第一个使用起源引擎的游戏。

V社前工程师Richard Geldrich曾在推特上解释为什么CS:GO的更新内容很少。因为现在已经没人能看懂起源引擎1里的古老代码了,增加新功能而不破坏老功能非常困难。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

2020年4月,CS:GO和军团要塞2两款使用起源引擎的游戏源代码曾遭泄露,这下可以看看问题都出在哪了。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

有人分析泄露文件发现,代码写得很糟糕,程序员疯狂在注释中倒苦水,表示写新代码燃尽了,哪有时间修复老Bug啊。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

这是一个蠢办法,但我没时间做的更好了。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

多线程的坏处,后面会造成程序崩溃!

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

我不知道为什么,我不想知道为什么,我不应该思考这是为什么,但如果不按糟糕的方法做这个面板就不会正确显示。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

我希望我写的足够糟糕,这样他们以后会禁止我再写用户界面。

陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

希望G胖不要光躺着数钱了,管管Bug。

参考链接:

[1]https://www.vice.com/en/article/dyvgej/counter-strike-bug-allows-hackers-to-take-over-a-pc-with-a-steam-invite

[2]https://news.ycombinator.com/item?id=26796203

[3]https://www.youtube.com/watch?v=T-BoDW1_9P4&t=2s

[免责声明]

资讯标题: 陌生人邀请我加入CS:GO游戏,我一接受就被盗号了

资讯来源: 36氪官网

36氪企服点评

H5制作相关的软件

查看更多软件

大厂都在用的H5制作软件

限时免费的H5制作软件

新锐产品推荐

消息通知
咨询入驻
商务合作