全球网络安全解决方案厂商 Check Point Software Technologies Ltd. 的研究人员近日公布了高人气线上动作生存游戏《要塞英雄》(Fortnite)的漏洞细节,这款游戏的所有玩家都可能会成为该漏洞的受害者。
《要塞英雄》在全球拥有近 8,000 万玩家,受到所有游戏玩家的喜爱,包括 Android、iOS、Microsoft Windows 电脑以及 Xbox One 和 PlayStation 4 等平台。除了业余玩家外,《要塞英雄》也是职业玩家进行线上游戏直播的宠儿,并且深受电竞爱好者的欢迎。
漏洞一旦遭到利用,攻击者便能完全获取使用者账号和个人资讯,并利用他们登录的支付方式来购买虚拟游戏货币。此外,该漏洞还可能导致隐私被大肆侵犯,因为攻击者可以偷听受害者在游戏时的聊天对话,甚至在家中或其他游戏场所周围的声音和对话。《要塞英雄》玩家之前曾遭遇欺骗攻击,引诱他们登录承诺生成《要塞英雄》“V-Buck”游戏货币的虚假网站,而且这些新漏洞在玩家无需提供任何登录细节的情况下便能被骇客利用。
Check Point 概述了攻击者如何利用在《要塞英雄》用户登录过程中发现的漏洞来获取用户账号。研究人员在 Epic Games 的网络基础设施中发现 3 个漏洞缺陷,藉以探悉攻击者如何同时利用基于权杖的身份验证流程(token-based authentication process)和如 Facebook、Google 和 Xbox 的单一登入(SSO)系统盗取用户访问凭证和账号。
玩家只要点击来自 Epic Games 网域、攻击者精心设计的看似透明的网络钓鱼连结,便会受到攻击。点击该连结后,使用者即便没有输入任何登录凭证,攻击者也可轻松捕获其《要塞英雄》的身份验证权杖。Check Point 研究人员指出,Epic Games 两个子域中发现的易遭到恶意重定向影响的潜在漏洞,将导致骇客能透过受攻击的子域,拦截用户的合法身份验证权杖。
Check Point 产品漏洞研究主管 Oded Vanunu 表示:“《要塞英雄》是线上玩家中最热门的游戏之一。这些缺陷为骇客大肆侵犯隐私提供了可乘之机。我们近日还在无人机制造商 DJI 大疆所用的平台中发现漏洞,显示云端应用极易遭受攻击和破坏。这些平台拥有大量的敏感客户资料,因而被越来越多的骇客所窥伺。实施双重因素身份验证能够帮助缓解这种账户被窃取的漏洞。”
Check Point 已经向 Epic Games 通知了该漏洞(现已修复)的存在。Check Point 和 Epic Games 建议所有使用者在交换数位资讯时保持警惕,并且在与他人进行线上互动时养成安全的网络习惯。 对于在使用者论坛和网站上看到的资讯连结,使用者应当对其合法性保持怀疑的态度。
企业必须对其 IT 基础设施进行全面和定期的安全检查,确保过期和不用的网站或访问点已经下线。此外,对已不使用但仍然在线的过期网站或子域进行审查也是可取的做法。
为了最大限度地降低此类漏洞带来的威胁,用户应当启用双重因素身份验证,确保在新装置上登录账户时,需要输入发送到账户持有人电子信箱中的验证码。同样重要的是,家长应让孩子们意识到网络诈骗的威胁,并提醒他们网络犯罪分子将会不择手段地获取玩家线上账户中的个人和财务资讯。
(首图来源:Check Point)
