網(wǎng)傳Steam出現(xiàn)安全漏洞 玩家電腦可能會(huì)被當(dāng)成礦機(jī)

根據(jù)reddit網(wǎng)友的爆料，安全研究員Vasily Kravets近日發(fā)現(xiàn)了Steam的重大安全漏洞。據(jù)悉，一些不法分子甚至可以利用該漏洞將玩家的PC變成礦機(jī)。消息一出，立即引發(fā)了很多網(wǎng)友的關(guān)注。

據(jù)悉，此次Steam出現(xiàn)的安全漏洞并不復(fù)雜：Steam出于某些內(nèi)部目的（考慮），便在玩家的電腦中安裝了“Steam Client Service（Steam客戶端服務(wù)）”。這意味著“用戶”組的任何一位用戶都可以啟動(dòng)或停止服務(wù)。

這是什么意思呢？

當(dāng)Steam客戶端運(yùn)行時(shí)，將自動(dòng)為一系列注冊(cè)表項(xiàng)目的相關(guān)權(quán)限提供許可，如果一些別有用心的人利用特殊手段（符號(hào)鏈接），將這些權(quán)限授予另外一種服務(wù)，那么任意一位用戶都可以啟動(dòng)和停止這項(xiàng)服務(wù)。這意味著，如果用戶在電腦上安裝了Steam，就能使用最高權(quán)限運(yùn)行任何程序。

危害有多大？

根據(jù)安全研究員Vasily Kravets所言，這種漏洞的危險(xiǎn)性在于：Steam此次安裝的客戶端服務(wù)（實(shí)際上是為了在用戶電腦上運(yùn)行第三方程序而設(shè)計(jì)的），將允許一些啟動(dòng)程序獲得用戶電腦的最高權(quán)限。玩家們或許都看到過Steam上的一些免費(fèi)游戲（當(dāng)然，有不少很垃圾），但是沒有人能夠保證：一些別有用心的人（或者是開發(fā)者）不會(huì)通過漏洞讓玩家的電腦為挖礦服務(wù)。此外，由于這些程序擁有了最高權(quán)限，一些潛在的危險(xiǎn)還會(huì)越過管理員權(quán)限，造成更大損害，例如：禁用殺毒軟件、隱藏和更改用戶電腦的任何文件，甚至還可以竊取個(gè)人隱私。

早在6月15日，安全研究員Vasily Kravets通過HackerOne向Valve報(bào)告了這個(gè)漏洞，但是到了6月16日，HackerOne的員工卻表示“不適用”，給出了一定的原因。經(jīng)過討論，7月20日，HackerOne工作人員再次將此次報(bào)告標(biāo)記為“不適用”。到了8月7日，也就是安全研究員Vasily Kravets初次提交報(bào)告后的第45天，他不得不將這項(xiàng)漏洞公之于眾，同時(shí)希望Steam開發(fā)人員及時(shí)修復(fù)。

Vasily Kravets表示：“我并不是第一個(gè)發(fā)現(xiàn)漏洞的人，但卻是第一個(gè)進(jìn)行分析的人。V社的態(tài)度令我感到驚訝，也讓我感到失望。我從來沒想過，一家嚴(yán)謹(jǐn)?shù)拇蠊揪尤粚?duì)這樣的漏洞給出了難以預(yù)料的回復(fù)。我表示難以理解，也很難接受這家公司的做法。我不建議玩家們刪除Steam，但是希望大家在使用的時(shí)候能多加注意。”

然而，這件事情其實(shí)還沒完。

7月20日，當(dāng)Vasily Kravets的漏洞報(bào)告被拒絕后，他曾經(jīng)通知相關(guān)人員（HackerOne員工），將在7月30日之后公布漏洞信息；

8月2日，一位HackerOne員工禁止Vasily Kravets透露更多細(xì)節(jié)；

8月6日，Steam進(jìn)行了更新，但是并沒有修復(fù)相關(guān)的漏洞；

值得一提的是，此前曾有獨(dú)立游戲《Abstractism》疑似捆綁用戶“挖礦” 被Steam強(qiáng)制下架。至于V社何時(shí)解決漏洞并做出進(jìn)一步回應(yīng)，還請(qǐng)關(guān)注我們的后續(xù)報(bào)道。（感興趣的玩家可以通過此鏈接來了解更多詳情）