Check Point的研究人员近日公布了高人气线上动作生存游戏《堡垒之夜(Fortnite)》的漏洞细节,这款游戏的所有玩家都可能会成为该漏洞的受害者。攻击者可以利用此漏洞完全获取用户帐号和个人信息,并利用他们登录的支付方式来购买虚拟游戏货币。此外,该漏洞还可能导致隐私被大肆侵犯。
《堡垒之夜》在全球拥有近 8000 万玩家,受到所有游戏玩家的喜爱,包括Android、iOS、Microsoft Windows 计算机以及 Xbox One 和 PlayStation 4 等平台。除了业余玩家外,《堡垒之夜》也是职业玩家进行线上游戏直播的宠儿,并且深受电竞爱好者的欢迎。
漏洞一旦遭到利用,攻击者便能完全获取用户帐号和个人信息,并利用他们登录的支付方式来购买虚拟游戏货币。此外,该漏洞还可能导致隐私被大肆侵犯,因为攻击者可以偷听受害者在游戏时的聊天对话,甚至在家中或其他游戏场所周围的声音和对话。 《堡垒之夜》玩家此前曾遭遇欺骗攻击,引诱他们登录承诺生成《堡垒之夜》“V-Buck”游戏货币的虚假网站,而且这些新漏洞在玩家无需提供任何登录细节的情况下便能被黑客利用。
Check Point概述了攻击者如何利用在《堡垒之夜》用户登录过程中发现的漏洞来获取用户帐号。研究人员在Epic Games 的网络基础设施中发现了三个漏洞缺陷,借以探悉攻击者如何同时利用基于权限的身份验证流程(token-based authentication process)和如Facebook、Google和Xbox的单一登录( SSO) 系统盗取用户访问凭证和帐号。
首先,玩家只要点击来自 Epic Games 域名、攻击者精心设计的看似透明的网络钓鱼链接便会受到攻击。
点击该链接后,用户即便没有输入任何登录凭证,攻击者也可轻松捕获其《堡垒之夜》的身份验证权限。 Check Point 研究人员指出,Epic Games 两个子域中发现的易遭到恶意重定向影响的潜在漏洞,将导致黑客能通过受攻击的子域拦截用户的合法身份验证权限。
Check Point产品漏洞研究主管Oded Vanunu表示:“《堡垒之夜》是线上玩家中最热门的游戏之一。这些缺陷为黑客大肆侵犯隐私提供了可乘之机。我们近日还在无人机制造商DJI大疆所用的平台中发现了漏洞,显示云计算应用极易遭受攻击和破坏。这些平台拥有大量的敏感客户数据,因而被越来越多的黑客所窥伺。实施双重因素身份验证能够帮助缓解这种帐户被窃取的漏洞。”
Check Point 已经向Epic Games 通知了该漏洞(现已修复)的存在。 Check Point 和 Epic Games 建议所有用户在交换数字信息时保持警惕,并且在与他人进行线上交互时养成安全的网络习惯。对于在用户论坛和网站增至到的信息链接,用户应当对其合法性保持怀疑的态度。
企业必须对其 IT 基础设施进行全面和定期的安全检查,确保过期和不用的网站或访问点已经下线。此外,对已不使用但仍然线上的过期网站或子域进行审查也是可取的做法。
为了最大限度地降低此类漏洞带来的威胁,用户应当激活双重因素身份验证,确保在新设备上登录帐户时,需要输入发送到帐户持有人电子邮箱中的验证码。同样重要的是,家长应让孩子们意识到网络欺诈的威胁,并提醒他们网络犯罪分子将会不择手段地获取玩家线上帐户中的个人和财务信息。