《堡垒之夜》现漏洞!允许攻击者向玩家发起 “大逃杀”

2019 年 1 月 21日网络安全解决方案提供商 Check Point软件科技有限公司的研究人员近日公布了《堡垒之夜》漏洞详情。《堡垒之夜》是一款非常受欢迎的在线战斗游戏,这款游戏的所有玩家都可能会成为该漏洞的受害者。

《堡垒之夜》在全球拥有近 8000 万玩家,受到所有游戏平台玩家的热捧,包括 Android、iOS、Microsoft Windows 电脑以及 Xbox One 和 PlayStation 4 等游戏机。除了业余玩家外,《堡垒之夜》也是职业玩家进行在线游戏直播的宠儿,而且也深受电竞爱好者的欢迎。

漏洞一旦遭到利用,攻击者便能够完全获取用户帐号和个人信息,以及使用受害者的支付卡购买虚拟游戏货币。此外,攻击者还可大肆侵犯隐私,例如偷听游戏聊天以及受害者家中或其他游戏场所周围的声音和对话。尽管《堡垒之夜》玩家此前曾遭遇欺骗攻击,即引诱他们登录承诺生成《堡垒之夜》“V-Buck”游戏货币的虚假网站,但这些新漏洞无需玩家提供任何登录细节便能够被黑客利用。

研究人员概述了攻击者如何通过在《堡垒之夜》用户登录过程中发现的漏洞来获取用户帐号。研究人员在 Epic Games 的网络基础设施中发现了三个漏洞缺陷,得以探悉攻击者如何同时利用基于令牌的身份验证流程和单点登录 (SSO) 系统(如Xbox)盗取用户访问凭证和帐号。

玩家只要点击来自 Epic Games 域名、经过精心设计的网络钓鱼链接便会受到攻击,虽然链接看起来很正常,但却是攻击者发送的。点击该链接后,用户即便没有输入任何登录凭证,攻击者也可轻松捕获其《堡垒之夜》的身份验证令牌。Check Point 研究人员称,Epic Games 两个子域名中的缺陷产生的潜在漏洞极易遭到恶意重定向,从而导致用户的合法身份验证令牌被黑客通过受到攻击的子域名拦截。

Check Point中国区总经理陈欣表示:“《堡垒之夜》是在线玩家中最流行的游戏之一。这些缺陷为攻击者大肆侵犯隐私提供了可乘之机。我们近日还在主流无人机制造商所用的平台中发现了漏洞,这些缺陷和漏洞说明云应用极易遭受攻击和破坏。这些平台拥有大量的敏感客户数据,因此,为越来越多的黑客所窥伺。实施双重因素身份验证能够帮助缓解这种账户窃取漏洞。”

Check Point 已经向 Epic Games 通知了该漏洞(现已修复)的存在。Check Point 和 Epic Games 建议所有用户在交换数字信息时保持警惕,并且在与他人进行线上互动时养成安全的网络习惯。  对于在用户论坛和网站上看到的信息链接,用户应当对其合法性保持怀疑的态度。

企业必须对其 IT 基础设施进行全面和定期的安全检查,确保过期和不用的网站或访问点已经下线。此外,对已经不使用但仍然在线的过期网站或子域名进行审查也是可取的做法。

为了最大限度地降低此类漏洞带来的威胁,用户应当启用双重因素身份验证,确保在新设备上登录账户时,需要输入发送到账户持有人电子邮箱中的验证码。同样重要的是,家长让孩子们意识到网络欺诈的威胁,并警告他们网络犯罪分子将会不择手段地获取玩家在线账户中的个人和财务信息。