Кошмар безопасности PUBG — можно взломать даже главное меню

Кошмар безопасности PUBG — можно взломать даже главное меню

Геймплейно PlayerUnknown’s Battlegrounds безусловно удалась. Иначе 15 миллионов геймеров просто не купили ее. Однако игра находится в Раннем Доступе, а значит по уши набита проблемами. И похоже, что ни одна из проблем, не сравнится с тем, что стало известно сейчас. Потому что даже главное меню PUBG — это одна большая дверь для хакеров. Да-да, сегодня Филип Суфитчи опубликовал у себя в блоге материал, где рассказал о том, насколько серьезная брешь в безопасности присутствует уже в самом меню PUBG. 

Дело в том, что главное меню PUBG это... веб-страница, удаленно загружаемая через незащищенное HTTP-подключение, что делает его уязвимым для кросс-сайтового скриптинга (XSS) путем атаки посредника или другими способами воздействия на незащищенные HTTP-запросы. Это значит, что уже одно лишь главное меню самой популярной игры 2017 года (на данный момент), лишено какой-либо защиты и позволяет заниматься фишингом, наблюдением за поведение пользователя и другими возможными атаками.

Самое страшное, что данная брешь была обнаружена ШЕСТЬ МЕСЯЦЕВ НАЗАД.

Объяснение для тех, кто не столь близко знаком с темой:

Загрузочный экран PUBG и различные элементы пользовательского интерфейса в главном меню технически не являются частью установленной игры. Когда вы запускаете игру, эти элементы загружаются с официального сервера и отображаются поверх самой игры. Отображение осуществляется через прозрачный "браузер", однако по сути, все это обычная страничка в интернете. 

Проблема в том, что подключение, через которое эти элементы загружаются, не безопасное. Это значит, что любые данные, передаваемые с сервера PUBG на ваш компьютер могут быть перехвачены и модифицированы. То есть, если кто-то получит доступ к любой части соединения между вами и сервером PUBG, то они смогут изменить, что вы видите в главном меню игры. Или заставить меню делать то, что оно не должно делать. К примеру: сообщать хакеру, какие внутриигровые вещи у вас есть в игре.

Филип отмечает, что для того, чтобы хакер сумел воспользоваться этой уязвимостью, на вашей машине уже должен находиться вредоносный код взломщика (а это значит, что у вас проблемы куда серьезнее) или хакер должен быть "посредником" между вами и PUBG. В какой ситуации хакер может быть посредником между вами и PUBG:

  • Если вы играете через незащищенное соединение. К примеру открытую точку Wi-Fi
  • Если вы играете через проводное или Wi-Fi соединение, не зная, кто его активировал и насколько ему можно доверять — университетские сети и прочее
  • Если вы играете через ЛЮБОЕ Wi-Fi подключение и на вашей машине нет патча, закрывающего дыру в безопасности Wi-Fi
Мега-брешь Wi-Fi — отключайте беспроводную связь
Сегодня утром мы писали о том, что обнаружен новый эксплоит,... Далее

В случае, если хакер может воспользоваться таким подключением — отмечу, что для опытного взломщика, это совершенно банальная задача, то он сможет изменить то, что вы видите на экране и будете думать, что это часть игры. 

Филип даже создал пример подобного взлома. После заставки игра может представить вам следующее изображение:

Выглядит как реальный экран, который просит подтвердить данные вашего аккаунта в Steam. В действительности это интерфейс, созданный хакером, позволяющий ему похитить вашу информацию. Но самое страшное, что это только начало. 

Что делать? 

Пока сама Bluehole не закроет эту "дыру" [иронично, что в названии студии hole — "дыра"], вы можете только минимизировать вероятность риска. Главный совет — играть только на домашней сети, использовать проводное подключение или роутер, если он находится достаточно далеко от потенциальных атак. 

Если вам интересны технические особенности потенциального хака — читайте оригинальную публикацию.

Видео от Shazoo

Подписаться

31 Комментарий

  • MedievalRain
    Комментарий скрыт. Показать

    Зачем играть в это багнутое нечто, если есть вылизанный Fortnite Battle Royale?

    5
  • Rugon
    Комментарий скрыт. Показать

    "Ну это же ранний доступ! Игра еще не готова! К релизу поправят!!!"
    Вот поэтому я не беру игры в раннем доступе. Как бы хороша она не была. А то, что эту брешь нашли так давно и до сих пор не закрыли лишь подтверждает мое решение.

    0
  • CohenCohen
    Комментарий скрыт. Показать

    @Rugon, это не просто проблема раннего доступа, это уже почти преступная халатность.

    Кто знает, что таким образом могли украсть? Номера карт? Аккаунты? Идентичность?

    3
  • Sherlock89
    Комментарий скрыт. Показать

    никогда никаких проблем подобного рода не было.

    Если вы играете через ЛЮБОЕ Wi-Fi подключение и на вашей машине нет патча, закрывающего дыру в безопасности Wi-Fi

    а вот это я не понял, что за дыра в вай фае? и что за патч?

    @MedievalRain, сравнил блин мультяшную пострелушку и достаточно хардкорную выживалку.

    10
  • November11
    Комментарий скрыт. Показать

    @MedievalRain, ну кому то не нравится аркадная стрельба.

    1
  • Fero
    Комментарий скрыт. Показать

    @MedievalRain, сам хотел в него играть, но строительство мне не нравится, да и от мультяшной графики не в восторге. Уж лучше пубг

    2
  • CohenCohen
    Комментарий скрыт. Показать

    @Sherlock89, обновите страницу, добавил там ссылку в выносе

    0
  • Zorch
    Комментарий скрыт. Показать

    @MedievalRain, затем, что мультяшная стилистика фортнайта нравится не всем. Да и нет реализма никакого в отличие от пубга. Лично мне игра напоминает какой-то Вормс 3Д, а не батлрояль.

    1
  • lREM1Xl
    Комментарий скрыт. Показать

    Ну и как всегда.
    Самая лучшая защита - мозги между ушами.
    Но это конечно фиаско.
    Хотя лично для себя ничего страшного не вижу.

    2
  • Alex_Stranger
    Комментарий скрыт. Показать

    @MedievalRain,
    во-первых, как писали ребята выше - недо-бордерлэндс рядом не стоит с ПУБГ по реалистичности и накалу страстей в игровом процессе)
    во-вторых, баги есть, но критичных за 200 часов игры, я практически не встречал.
    в-третьих, уязвимость касается только людей, играющих в компьютерных клубах - там сеть действительно может быть не защищена.
    я думаю, процентов 80 людей играет в ПУБГ у себя дома через ПК по проводу

    2
  • Комментарий скрыт. Показать

    @Cohen, скорее ничего. Слишком специфичная атака. Разве что может в Корее может работать, где большинство играет в компьютерных клубах.

    Что конечно не отменяет того, что ошибка уж слишком идиотская, ведь настроить https это дело нескольких минут

    0
  • CohenCohen
    Комментарий скрыт. Показать

    @jeiz, учитывая то, сколько читеров банят каждый день, думаю что не все так просто

    -1
  • MedievalRain
    Комментарий скрыт. Показать

    @Alex_Stranger, @Sherlock89, @November11, игра развивается постепенно, так что все там будет улучшаться.
    И мне очень смешно слушать про реалистичный стиль в PUBG, когда большая часть игроков сознательно играет на минималках как дурачки.

    -1
  • Комментарий скрыт. Показать

    @Cohen, ну читеры это другой вопрос совершенно

    0
  • Комментарий скрыт. Показать

    Глупо жаловаться на баги в раннем доступе.
    У меня руки чешутся купить до релиза, но после кривых стартов той же батлы я лучше нервы себе поберегу.

    0
  • Zorch
    Комментарий скрыт. Показать

    @MedievalRain, сам играл на минималках ради 144 фпс, т.к. в виду галимой оптимизации на высоких настройках выдает 40-60 фпс, что довольно мало для монитора на 144гц. Но на днях я таки подрубил высокие и обнаружил 80-90, да так и оставил.

    0
  • MedievalRain
    Комментарий скрыт. Показать

    @Zorch, многие ставят минималки так как это дает преимущество в игре.

    -2
  • Sherlock89
    Комментарий скрыт. Показать

    @MedievalRain, раньше месяца 3 назад мож и была пруха от минималок, (сам пробовал конечно играть на минималках, но толку никакого не обнаружил) а сейчас и вовсе от минималок толка нет, каждый играет по мере мощности своего компа, у меня все на максималках, посмотри любого стримера ПУБГа и они играют на максималках, сейчас данная фича уже неактуальна, игру оптимизировали на славу и все довольны. Самая большая проблема для игроков сейчас это сервера и лаги, но думаю с новым издателем в России и эта проблема отпадет окончательно.

    1
  • MedievalRain
    Комментарий скрыт. Показать

    @Sherlock89, я пубг как раз и знаю только по стримам. Ну и люди из-за плотности травы играют на минималках. Просто такое ощущение, что разработчики только начинают отходить от пьянящей бурной популярности. А Epic Games солидная контора и знают как грамотно делать игры. К тому же они и движок сами создали.

    -1
  • HappyEgg
    Комментарий скрыт. Показать

    @MedievalRain, еще бы спросил, почему мы в "вылизанный" ХИЗИ не играем...

    0
  • MedievalRain
    Комментарий скрыт. Показать

    @HappyEgg, ну H1Z1 в топ 10 стима уже давно закрепился, так что своя аудитория у него есть.

    -2
  • Комментарий скрыт. Показать

    Серьезно?Удивление у кого-то вызывает? Да там все сделано на коленке, нету ничего что сделано хоть немного хорошо

    0
  • Andyk
    Комментарий скрыт. Показать

    о боже! хакер, получив доступ к моему компухтеру не будет искать данные о кредитках, нет, он начнет модифицировать меню пабг, что бы украсть штаны!

    -1
  • CohenCohen
    Комментарий скрыт. Показать

    @Andyk, вы по диагонали читали?

    0
  • stalkerJC
    Комментарий скрыт. Показать

    Вот почему для мультиплеерных игр лучше брать консоли.

    0
  • Kalcifer_flame
    Комментарий скрыт. Показать

    Развели панику. У вас все сайты по https работают? Если нет https, то вы уходите? Хотя в 2017 весь новый софт конечно должен. Странно что за шесть месяцев они не добавили сертификат и не врубили https. По сути там работы на несколько часов, если даже программист это первый раз делает...

    0
  • Комментарий скрыт. Показать

    @Kalcifer_flame, ну, так-то по безопасности сёрфинга, у меня установлен модуль в браузере, который автоматически всё направляет через HTTPS. Т.ч. всё ок в этом плане.
    Тут проблема не столько в самой этой дыре, хотя это и зашквар, сколько в том, что это показывает общий уровень квалификации команды в части безопасности. При достижении определённого уровня квалификации, подобные простейшие алгоритмы осуществления безопасности выполняются на рефлекторном уровне. Данная уязвимость косвенно указывает на такой себе уровень квалификации конторы.

    0
  • Zorch
    Комментарий скрыт. Показать

    @MedievalRain, преимущество от минималок только одно - 144 кадра в секунду и то только при наличии подходящего по герцовке монитора и мощного ПК. Все. Больше никаких преимуществ нет. Раньше при отключении теней можно было получить Профит, т.к. спрятавшийся, например, в тени дерева будет виден тебе, но месяца полтора назад это фиксанули и тени есть на любой графе. Хорошо бы сделать прорисовку травы хотя бы на 8-кратный зум, не говорю уже про 15-кратный, а то это чит тот ещё, когда чел лежит в траве, а ты в полукилометре от него прекрасно выцеливаешь его щи, т.к. для тебя травы не видно.

    1
  • mazavs
    Комментарий скрыт. Показать

    Галактеко опасносте!!111!1!

    1
  • Комментарий скрыт. Показать

    @MedievalRain, Fortnite слишком казуальная хрень для детей. в PUBG если ты не играл ты не поймешь ее прелестей) и к тому же я за 900р купил и за 2 дня кейсами в 2 раза цену отбил)

    0
  • Комментарий скрыт. Показать

    @Alex_Stranger,
    Поправка, накал пуканов школьников, это не страсти.
    Второе, ну если это реалистичная графика... То я блин не знаю.
    По факту лаговое днище с ошибками, ну и фанатами.
    Но как всегда пипл хавает (хотя мне кажется, любители майнкоафта подросли).

    0
Войдите на сайт чтобы оставлять комментарии.