[新聞] 要塞英雄出現漏洞!駭客可輕易盜取個資
作者: SuperSg (萌翻天的時代來啦°▽°) 2019-01-30 16:21:59
https://goo.gl/Nvjh6e
資安廠商「Check Point」今(30)日公布高人氣線上動作生存遊戲《要塞英雄》
(Fortnite)的漏洞細節,警告這款遊戲的所有玩家都可能會成為該漏洞的受害者。
《要塞英雄》在全球擁有近 8000 萬玩家,受到所有遊戲玩家的喜愛,包括Android、iOS
、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等平台。除了業餘玩家外
,《要塞英雄》也是職業玩家進行線上遊戲直播的寵兒,並且深受電競愛好者的歡迎。漏
洞一旦遭到利用,攻擊者便能完全獲取使用者帳號和個人資訊,並利用他們登錄的支付方
式來購買虛擬遊戲貨幣。
此外,該漏洞還可能導致隱私被大肆侵犯,因為攻擊者可以偷聽受害者在遊戲時的聊天對
話,甚至在家中或其他遊戲場所周圍的聲音和對話。《要塞英雄》玩家此前曾遭遇欺騙攻
擊,引誘他們登錄承諾生成《要塞英雄》「V-Buck」遊戲貨幣的虛假網站,而且這些新漏
洞在玩家無需提供任何登錄細節的情況下便能被駭客利用。
資安廠商Check Point概述攻擊者如何利用在《要塞英雄》用戶登錄過程中發現的漏洞來
獲取用戶帳號。研究人員在 Epic Games 的網路基礎設施中發現了三個漏洞缺陷,藉以探
悉攻擊者如何同時利用基於權杖的身份驗證流程(token-based authentication process)
和如Facebook、Google和Xbox的單一登入 (SSO) 系統盜取用戶訪問憑證和帳號。
玩家只要點擊來自 Epic Games 網域、攻擊者精心設計的看似透明的網路釣魚連結便會受
到攻擊。點擊該連結後,使用者即便沒有輸入任何登錄憑證,攻擊者也可輕鬆捕獲其《要
塞英雄》的身份驗證權杖。Check Point 研究人員指出,Epic Games 兩個子域中發現的
易遭到惡意重定向影響的潛在漏洞,將導致駭客能通過受攻擊的子域攔截用戶的合法身份
驗證權杖。
Check Point產品漏洞研究主管Oded Vanunu表示:「《要塞英雄》是線上玩家中最熱門的
遊戲之一。這些缺陷為駭客大肆侵犯隱私提供了可乘之機。我們近日還在無人機製造商
DJI大疆所用的平台中發現了漏洞,顯示雲端應用極易遭受攻擊和破壞。這些平台擁有大
量的敏感客戶資料,因而被越來越多的駭客所窺伺。實施雙重因素身份驗證能夠幫助緩解
這種帳戶被竊取的漏洞。」
Check Point 已經向 Epic Games 通知了該漏洞(現已修復)的存在。Check Point 和
Epic Games 建議所有使用者在交換數位資訊時保持警惕,並且在與他人進行線上互動時
養成安全的網路習慣。 對於在使用者論壇和網站上看到的資訊連結,使用者應當對其合
法性保持懷疑的態度。
資安廠商「Check Point」今(30)日公布高人氣線上動作生存遊戲《要塞英雄》
(Fortnite)的漏洞細節,警告這款遊戲的所有玩家都可能會成為該漏洞的受害者。
《要塞英雄》在全球擁有近 8000 萬玩家,受到所有遊戲玩家的喜愛,包括Android、iOS
、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等平台。除了業餘玩家外
,《要塞英雄》也是職業玩家進行線上遊戲直播的寵兒,並且深受電競愛好者的歡迎。漏
洞一旦遭到利用,攻擊者便能完全獲取使用者帳號和個人資訊,並利用他們登錄的支付方
式來購買虛擬遊戲貨幣。
此外,該漏洞還可能導致隱私被大肆侵犯,因為攻擊者可以偷聽受害者在遊戲時的聊天對
話,甚至在家中或其他遊戲場所周圍的聲音和對話。《要塞英雄》玩家此前曾遭遇欺騙攻
擊,引誘他們登錄承諾生成《要塞英雄》「V-Buck」遊戲貨幣的虛假網站,而且這些新漏
洞在玩家無需提供任何登錄細節的情況下便能被駭客利用。
資安廠商Check Point概述攻擊者如何利用在《要塞英雄》用戶登錄過程中發現的漏洞來
獲取用戶帳號。研究人員在 Epic Games 的網路基礎設施中發現了三個漏洞缺陷,藉以探
悉攻擊者如何同時利用基於權杖的身份驗證流程(token-based authentication process)
和如Facebook、Google和Xbox的單一登入 (SSO) 系統盜取用戶訪問憑證和帳號。
玩家只要點擊來自 Epic Games 網域、攻擊者精心設計的看似透明的網路釣魚連結便會受
到攻擊。點擊該連結後,使用者即便沒有輸入任何登錄憑證,攻擊者也可輕鬆捕獲其《要
塞英雄》的身份驗證權杖。Check Point 研究人員指出,Epic Games 兩個子域中發現的
易遭到惡意重定向影響的潛在漏洞,將導致駭客能通過受攻擊的子域攔截用戶的合法身份
驗證權杖。
Check Point產品漏洞研究主管Oded Vanunu表示:「《要塞英雄》是線上玩家中最熱門的
遊戲之一。這些缺陷為駭客大肆侵犯隱私提供了可乘之機。我們近日還在無人機製造商
DJI大疆所用的平台中發現了漏洞,顯示雲端應用極易遭受攻擊和破壞。這些平台擁有大
量的敏感客戶資料,因而被越來越多的駭客所窺伺。實施雙重因素身份驗證能夠幫助緩解
這種帳戶被竊取的漏洞。」
Check Point 已經向 Epic Games 通知了該漏洞(現已修復)的存在。Check Point 和
Epic Games 建議所有使用者在交換數位資訊時保持警惕,並且在與他人進行線上互動時
養成安全的網路習慣。 對於在使用者論壇和網站上看到的資訊連結,使用者應當對其合
法性保持懷疑的態度。
作者: loyou (明人) 2019-01-30 16:40:00
epic games收12% steam收30% 還是繼續steam好了
作者: fate201 (Licht) 2019-01-30 16:47:00
基於權杖 LUL
作者: Koyomiiii (Koyomi) 2019-01-30 16:47:00
一大堆小孩 帳號一定很好盜
作者: Kenqr (function(){})() 2019-01-30 17:45:00
連聊天也能偷聽 這是啥漏洞...
作者: wahaha2005 (我是誰2005) 2019-01-30 17:46:00
黑客都已經偷完了才說
作者: amsmsk (449) 2019-01-30 18:10:00
中資平台都要個資外漏一下
作者: ricklay1225 (聖誕瑞克) 2019-01-30 19:19:00
中資平台通病 某星國平台也有這問題
繼續閱讀
[情報]巴哈姆特之怒 Manaria Friends 03 先行圖dragon803[討論] 體溫過高真的會引起人體自焚嗎?YESGOTORe: [閒聊] 電競配備/裝備真的有差嗎?WARgame723[閒聊] 崩壞3rd 2.9 強襲芽衣(增幅核心)oread168[閒聊] 五 等 分 , 誰 是 第 一 個 受 精 胚 胎?WestDoorJunkRe: [閒聊] 很多人會因為動畫遊戲變軍盲嗎?(軍火)g3sg1[討論] 不滿馴龍高手中沒牙的設定RoChing[閒聊] PS4與NS遊戲片在二手市場跌價的狀況rin8866[閒聊] 有人是看了強風吹拂因此想跑步的嗎Ericz7000[閒聊] 梭默要抓人時候 要怎出示證明自己是梭默?twmadrid
