Геймеров взломали вдобавок к убийству в CS и Team Fortress

Специалисты компании One Up Security обнаружили в играх на движке Source уязвимость, позволяющую злоумышленникам загружать и исполнять на компьютерах других игроков произвольный код. Она была найдена в инструменте, позволяющем игрокам загружать в игру различные модификации, к примеру карты или анимации. Компания Valve уже выпустила патч, устраняющий уязвимость. Кратко об этом сообщает издание The Verge, подробное описание механизма взлома доступно на сайте компании.

Иногда хакеры используют необычные схемы для взлома. К примеру, недавно для этого использовали субтитры, которые некоторые медиаплееры автоматически загружают из интернета. Теперь специалисты по информационной безопасности решили исследовать на предмет уязвимостей компьютерные игры.

В One Up Security изучали игровой движок Source от компании Valve. На нем построено множество популярных игр компании, такие как Counter-Strike и Half-Life. Многие игры на этом движке поддерживают Source SDK — инструмент, позволяющий модифицировать игры, загружая в них измененные текстуры, карты и анимации. Если на сервере игры, к которому подключается пользователь, используются такие модификации, они загружаются на его компьютер.

Выяснилось, что в такие модификации можно встроить и вредоносный код, который будет исполняться на компьютере жертвы. Специалисты создали специальную Ragdoll-анимацию смерти игрока, которая помимо непосредственно анимации включала в себя и вредоносную программу. Таким образом, когда игрока убивали, вместе с анимацией запускалась и программа, дающая злоумышленникам доступ к компьютеру.

Уязвимость была продемонстрирована на компьютере под управлением Windows. О том, можно ли ее использовать на других операционных системах, поддерживаемых играми Valve, не сообщается. One Up Security заранее уведомила Valve о найденной уязвимости, и по их словам, патч был выпущен в течение одного дня.

Существуют и другие примеры необычных уязвимостей. К примеру, в 2015 году выяснилось, что практически все смартфоны под управлением Android можно взломать через специальное MMS. А электромобиль Nissan Leaf удалось взломать с помощью браузера. Для этого оказалось достаточно знать VIN-номер автомобиля.

Григорий Копиев