[新闻] 要塞英雄出现漏洞!骇客可轻易盗取个资
楼主: SuperSg (萌翻天的时代来啦°▽°) 2019-01-30 16:21:59
https://goo.gl/Nvjh6e
资安厂商“Check Point”今(30)日公布高人气线上动作生存游戏《要塞英雄》
(Fortnite)的漏洞细节,警告这款游戏的所有玩家都可能会成为该漏洞的受害者。
《要塞英雄》在全球拥有近 8000 万玩家,受到所有游戏玩家的喜爱,包括Android、iOS
、Microsoft Windows 电脑以及 Xbox One 和 PlayStation 4 等平台。除了业余玩家外
,《要塞英雄》也是职业玩家进行线上游戏直播的宠儿,并且深受电竞爱好者的欢迎。漏
洞一旦遭到利用,攻击者便能完全获取使用者帐号和个人资讯,并利用他们登录的支付方
式来购买虚拟游戏货币。
此外,该漏洞还可能导致隐私被大肆侵犯,因为攻击者可以偷听受害者在游戏时的聊天对
话,甚至在家中或其他游戏场所周围的声音和对话。《要塞英雄》玩家此前曾遭遇欺骗攻
击,引诱他们登录承诺生成《要塞英雄》“V-Buck”游戏货币的虚假网站,而且这些新漏
洞在玩家无需提供任何登录细节的情况下便能被骇客利用。
资安厂商Check Point概述攻击者如何利用在《要塞英雄》用户登录过程中发现的漏洞来
获取用户帐号。研究人员在 Epic Games 的网络基础设施中发现了三个漏洞缺陷,藉以探
悉攻击者如何同时利用基于权杖的身份验证流程(token-based authentication process)
和如Facebook、Google和Xbox的单一登入 (SSO) 系统盗取用户访问凭证和帐号。
玩家只要点击来自 Epic Games 网域、攻击者精心设计的看似透明的网络钓鱼连结便会受
到攻击。点击该连结后,使用者即便没有输入任何登录凭证,攻击者也可轻松捕获其《要
塞英雄》的身份验证权杖。Check Point 研究人员指出,Epic Games 两个子域中发现的
易遭到恶意重定向影响的潜在漏洞,将导致骇客能通过受攻击的子域拦截用户的合法身份
验证权杖。
Check Point产品漏洞研究主管Oded Vanunu表示:“《要塞英雄》是线上玩家中最热门的
游戏之一。这些缺陷为骇客大肆侵犯隐私提供了可乘之机。我们近日还在无人机制造商
DJI大疆所用的平台中发现了漏洞,显示云端应用极易遭受攻击和破坏。这些平台拥有大
量的敏感客户资料,因而被越来越多的骇客所窥伺。实施双重因素身份验证能够帮助缓解
这种帐户被窃取的漏洞。”
Check Point 已经向 Epic Games 通知了该漏洞(现已修复)的存在。Check Point 和
Epic Games 建议所有使用者在交换数位资讯时保持警惕,并且在与他人进行线上互动时
养成安全的网络习惯。 对于在使用者论坛和网站上看到的资讯连结,使用者应当对其合
法性保持怀疑的态度。
资安厂商“Check Point”今(30)日公布高人气线上动作生存游戏《要塞英雄》
(Fortnite)的漏洞细节,警告这款游戏的所有玩家都可能会成为该漏洞的受害者。
《要塞英雄》在全球拥有近 8000 万玩家,受到所有游戏玩家的喜爱,包括Android、iOS
、Microsoft Windows 电脑以及 Xbox One 和 PlayStation 4 等平台。除了业余玩家外
,《要塞英雄》也是职业玩家进行线上游戏直播的宠儿,并且深受电竞爱好者的欢迎。漏
洞一旦遭到利用,攻击者便能完全获取使用者帐号和个人资讯,并利用他们登录的支付方
式来购买虚拟游戏货币。
此外,该漏洞还可能导致隐私被大肆侵犯,因为攻击者可以偷听受害者在游戏时的聊天对
话,甚至在家中或其他游戏场所周围的声音和对话。《要塞英雄》玩家此前曾遭遇欺骗攻
击,引诱他们登录承诺生成《要塞英雄》“V-Buck”游戏货币的虚假网站,而且这些新漏
洞在玩家无需提供任何登录细节的情况下便能被骇客利用。
资安厂商Check Point概述攻击者如何利用在《要塞英雄》用户登录过程中发现的漏洞来
获取用户帐号。研究人员在 Epic Games 的网络基础设施中发现了三个漏洞缺陷,藉以探
悉攻击者如何同时利用基于权杖的身份验证流程(token-based authentication process)
和如Facebook、Google和Xbox的单一登入 (SSO) 系统盗取用户访问凭证和帐号。
玩家只要点击来自 Epic Games 网域、攻击者精心设计的看似透明的网络钓鱼连结便会受
到攻击。点击该连结后,使用者即便没有输入任何登录凭证,攻击者也可轻松捕获其《要
塞英雄》的身份验证权杖。Check Point 研究人员指出,Epic Games 两个子域中发现的
易遭到恶意重定向影响的潜在漏洞,将导致骇客能通过受攻击的子域拦截用户的合法身份
验证权杖。
Check Point产品漏洞研究主管Oded Vanunu表示:“《要塞英雄》是线上玩家中最热门的
游戏之一。这些缺陷为骇客大肆侵犯隐私提供了可乘之机。我们近日还在无人机制造商
DJI大疆所用的平台中发现了漏洞,显示云端应用极易遭受攻击和破坏。这些平台拥有大
量的敏感客户资料,因而被越来越多的骇客所窥伺。实施双重因素身份验证能够帮助缓解
这种帐户被窃取的漏洞。”
Check Point 已经向 Epic Games 通知了该漏洞(现已修复)的存在。Check Point 和
Epic Games 建议所有使用者在交换数位资讯时保持警惕,并且在与他人进行线上互动时
养成安全的网络习惯。 对于在使用者论坛和网站上看到的资讯连结,使用者应当对其合
法性保持怀疑的态度。
作者: loyou (明人) 2019-01-30 16:40:00
epic games收12% steam收30% 还是继续steam好了
作者: fate201 (Licht) 2019-01-30 16:47:00
基于权杖 LUL
作者: Koyomiiii (Koyomi) 2019-01-30 16:47:00
一大堆小孩 帐号一定很好盗
作者: Kenqr (function(){})() 2019-01-30 17:45:00
连聊天也能偷听 这是啥漏洞...
作者: wahaha2005 (我是谁2005) 2019-01-30 17:46:00
黑客都已经偷完了才说
作者: amsmsk (449) 2019-01-30 18:10:00
中资平台都要个资外漏一下
作者: ricklay1225 (圣诞瑞克) 2019-01-30 19:19:00
中资平台通病 某星国平台也有这问题
继续阅读
[情报]巴哈姆特之怒 Manaria Friends 03 先行图dragon803[讨论] 体温过高真的会引起人体自焚吗?YESGOTORe: [闲聊] 电竞配备/装备真的有差吗?WARgame723[闲聊] 崩坏3rd 2.9 强袭芽衣(增幅核心)oread168[闲聊] 五 等 分 , 谁 是 第 一 个 受 精 胚 胎?WestDoorJunkRe: [闲聊] 很多人会因为动画游戏变军盲吗?(军火)g3sg1[讨论] 不满驯龙高手中没牙的设定RoChing[闲聊] PS4与NS游戏片在二手市场跌价的状况rin8866[闲聊] 有人是看了强风吹拂因此想跑步的吗Ericz7000[闲聊] 梭默要抓人时候 要怎出示证明自己是梭默?twmadrid
