您的位置: 首頁 >游戲 >

EA修復(fù)了可能導致用戶帳戶處于危險中的云缺陷

2022-08-20 00:25:51 編輯:單于梅民 來源:
導讀 數(shù)千萬人在玩一些最受歡迎的視頻游戲時使用的在線游戲服務(wù)的漏洞現(xiàn)在已經(jīng)修復(fù),這些漏洞可能允許攻擊者獲取個人信息并控制賬戶。物聯(lián)網(wǎng)和移...

數(shù)千萬人在玩一些最受歡迎的視頻游戲時使用的在線游戲服務(wù)的漏洞現(xiàn)在已經(jīng)修復(fù),這些漏洞可能允許攻擊者獲取個人信息并控制賬戶。

物聯(lián)網(wǎng)和移動世界的網(wǎng)絡(luò)安全

在過去20年里,科技界把大量時間花在了創(chuàng)新上,以至于安全常常被拋在腦后。了解它如何以及為什么最終會改變。

電子藝界(EA)的起源平臺是許多高知名度的游戲,由該公司開發(fā),包括頂點傳奇,戰(zhàn)場,國際足聯(lián),馬登,和更多。Origin是玩家購買和管理游戲的地方,同時也提供了一個用戶可以管理個人信息和支付細節(jié)的門戶。

但是研究者從以色列網(wǎng)絡(luò)安全公司檢查站和CyberInt發(fā)現(xiàn)攻擊者可以訪問系統(tǒng)通過一個漏洞的“鏈”,利用EA游戲的使用oAuth身份驗證令牌與單點登錄(SSO)和信任的身份驗證機制,建立在登錄過程。

參見:網(wǎng)絡(luò)安全制勝戰(zhàn)略(ZDNet特別報道)

這家安全公司表示,EA關(guān)閉的漏洞可能會讓一個威脅行動者劫持玩家的會話,導致賬戶的妥協(xié)和接管。Check Point表示,該漏洞可能允許攻擊者獲取用戶的信用卡信息,并能夠代表用戶欺騙性地購買游戲內(nèi)貨幣。

在EA平臺中發(fā)現(xiàn)的漏洞同樣不需要用戶提交任何登錄細節(jié)。

“我們看到的是一個配置錯誤的云環(huán)境中的缺陷。所以我們增加了一個被EA正式終止的子域,但在應(yīng)用層面,子域仍然存在,”檢查點產(chǎn)品漏洞研究負責人Oded Vanunu告訴ZDNet。

“我們可以在Azure上打開一個實例,并使用相同的名稱來調(diào)用它,應(yīng)用程序仍然會調(diào)用域。我們還發(fā)現(xiàn)了來自這些領(lǐng)域的Javascript,我們利用它們來操縱威脅。”他補充道。

一旦建立了這個域,研究人員檢查了Origin的單點登錄機制,發(fā)現(xiàn)它使用一個唯一的密鑰將用戶的登錄憑證交換到EA網(wǎng)絡(luò),而不需要重新輸入細節(jié)。

通過與EA實現(xiàn)信任機制的方式相結(jié)合,研究人員發(fā)現(xiàn)有可能通過被劫持的子域重定向用戶登錄。這可以通過網(wǎng)絡(luò)釣魚攻擊來實現(xiàn),惡意攻擊者可以利用Origin自己的通信平臺或其他聊天應(yīng)用程序欺騙用戶點擊鏈接。

通過這樣做,攻擊者可以直接訪問該賬戶,并能夠訪問其中的所有個人數(shù)據(jù)——包括真實姓名、出生日期和支付信息。該賬戶本身甚至可以出售,而原來的用戶則被鎖在門外。

CyberInt Technologies的聯(lián)合創(chuàng)始人兼戰(zhàn)略高級副總裁伊泰?亞諾夫斯基(Itay Yanovski)表示:“游戲產(chǎn)品在暗網(wǎng)中的官方和非官方市場進行交易,這使得針對游戲工作室的攻擊非常有利可圖?!?/p>

Check Point和CyberInt向EA透露了這個漏洞,公司已經(jīng)部署了一個更新來修復(fù)這個問題,以保護用戶免受攻擊。

“根據(jù)CyberInt和Check Point的報告,我們采用了我們的產(chǎn)品安全響應(yīng)流程來糾正所報告的問題,”藝電游戲與平臺安全高級總監(jiān)Adrian Stone說。

參見:網(wǎng)絡(luò)安全新專家的10條建議(免費PDF)

為了幫助保護帳戶不被接管,建議使用usersenable雙因素身份驗證,并小心要求您單擊鏈接的非請求消息。

對該漏洞的技術(shù)分析還建議,運營面向客戶的在線門戶網(wǎng)站(尤其是云中的門戶網(wǎng)站)的組織應(yīng)不斷重新評估漏洞和衛(wèi)生狀況,因為攻擊者將反復(fù)嘗試尋找突破邊界的新方法。

瓦努努說:“盡管它們非常透明和易于使用,但在控制整個應(yīng)用程序或云服務(wù)器上的基礎(chǔ)設(shè)施方面仍然存在一些巨大的差距?!?/p>

他補充說:“這種攻擊載體將在未來幾年占據(jù)主導地位,因為這是網(wǎng)絡(luò)罪犯進入操縱api、記賬和繼續(xù)橫向移動的大門?!?/p>


免責聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

最新文章

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。