EA修復(fù)了可能導(dǎo)致用戶帳戶處于危險(xiǎn)中的云缺陷

數(shù)千萬人在玩一些最受歡迎的視頻游戲時(shí)使用的在線游戲服務(wù)的漏洞現(xiàn)在已經(jīng)修復(fù)，這些漏洞可能允許攻擊者獲取個(gè)人信息并控制賬戶。

物聯(lián)網(wǎng)和移動(dòng)世界的網(wǎng)絡(luò)安全

在過去20年里，科技界把大量時(shí)間花在了創(chuàng)新上，以至于安全常常被拋在腦后。了解它如何以及為什么最終會(huì)改變。

電子藝界(EA)的起源平臺(tái)是許多高知名度的游戲，由該公司開發(fā)，包括頂點(diǎn)傳奇，戰(zhàn)場(chǎng)，國際足聯(lián)，馬登，和更多。Origin是玩家購買和管理游戲的地方，同時(shí)也提供了一個(gè)用戶可以管理個(gè)人信息和支付細(xì)節(jié)的門戶。

但是研究者從以色列網(wǎng)絡(luò)安全公司檢查站和CyberInt發(fā)現(xiàn)攻擊者可以訪問系統(tǒng)通過一個(gè)漏洞的“鏈”,利用EA游戲的使用oAuth身份驗(yàn)證令牌與單點(diǎn)登錄(SSO)和信任的身份驗(yàn)證機(jī)制,建立在登錄過程。

參見:網(wǎng)絡(luò)安全制勝戰(zhàn)略(ZDNet特別報(bào)道)

這家安全公司表示，EA關(guān)閉的漏洞可能會(huì)讓一個(gè)威脅行動(dòng)者劫持玩家的會(huì)話，導(dǎo)致賬戶的妥協(xié)和接管。Check Point表示，該漏洞可能允許攻擊者獲取用戶的信用卡信息，并能夠代表用戶欺騙性地購買游戲內(nèi)貨幣。

在EA平臺(tái)中發(fā)現(xiàn)的漏洞同樣不需要用戶提交任何登錄細(xì)節(jié)。

“我們看到的是一個(gè)配置錯(cuò)誤的云環(huán)境中的缺陷。所以我們?cè)黾恿艘粋€(gè)被EA正式終止的子域，但在應(yīng)用層面，子域仍然存在，”檢查點(diǎn)產(chǎn)品漏洞研究負(fù)責(zé)人Oded Vanunu告訴ZDNet。

“我們可以在Azure上打開一個(gè)實(shí)例，并使用相同的名稱來調(diào)用它，應(yīng)用程序仍然會(huì)調(diào)用域。我們還發(fā)現(xiàn)了來自這些領(lǐng)域的Javascript，我們利用它們來操縱威脅。”他補(bǔ)充道。

一旦建立了這個(gè)域，研究人員檢查了Origin的單點(diǎn)登錄機(jī)制，發(fā)現(xiàn)它使用一個(gè)唯一的密鑰將用戶的登錄憑證交換到EA網(wǎng)絡(luò)，而不需要重新輸入細(xì)節(jié)。

通過與EA實(shí)現(xiàn)信任機(jī)制的方式相結(jié)合，研究人員發(fā)現(xiàn)有可能通過被劫持的子域重定向用戶登錄。這可以通過網(wǎng)絡(luò)釣魚攻擊來實(shí)現(xiàn)，惡意攻擊者可以利用Origin自己的通信平臺(tái)或其他聊天應(yīng)用程序欺騙用戶點(diǎn)擊鏈接。

通過這樣做，攻擊者可以直接訪問該賬戶，并能夠訪問其中的所有個(gè)人數(shù)據(jù)——包括真實(shí)姓名、出生日期和支付信息。該賬戶本身甚至可以出售，而原來的用戶則被鎖在門外。

CyberInt Technologies的聯(lián)合創(chuàng)始人兼戰(zhàn)略高級(jí)副總裁伊泰?亞諾夫斯基(Itay Yanovski)表示:“游戲產(chǎn)品在暗網(wǎng)中的官方和非官方市場(chǎng)進(jìn)行交易，這使得針對(duì)游戲工作室的攻擊非常有利可圖。”

Check Point和CyberInt向EA透露了這個(gè)漏洞，公司已經(jīng)部署了一個(gè)更新來修復(fù)這個(gè)問題，以保護(hù)用戶免受攻擊。

“根據(jù)CyberInt和Check Point的報(bào)告，我們采用了我們的產(chǎn)品安全響應(yīng)流程來糾正所報(bào)告的問題，”藝電游戲與平臺(tái)安全高級(jí)總監(jiān)Adrian Stone說。

參見:網(wǎng)絡(luò)安全新專家的10條建議(免費(fèi)PDF)

為了幫助保護(hù)帳戶不被接管，建議使用usersenable雙因素身份驗(yàn)證，并小心要求您單擊鏈接的非請(qǐng)求消息。

對(duì)該漏洞的技術(shù)分析還建議，運(yùn)營面向客戶的在線門戶網(wǎng)站(尤其是云中的門戶網(wǎng)站)的組織應(yīng)不斷重新評(píng)估漏洞和衛(wèi)生狀況，因?yàn)楣粽邔⒎磸?fù)嘗試尋找突破邊界的新方法。

瓦努努說:“盡管它們非常透明和易于使用，但在控制整個(gè)應(yīng)用程序或云服務(wù)器上的基礎(chǔ)設(shè)施方面仍然存在一些巨大的差距?！?/p>

他補(bǔ)充說:“這種攻擊載體將在未來幾年占據(jù)主導(dǎo)地位，因?yàn)檫@是網(wǎng)絡(luò)罪犯進(jìn)入操縱api、記賬和繼續(xù)橫向移動(dòng)的大門?！?/p>