Check Point揭露遊戲平台重大安全漏洞 智慧應用 影音
Microchip
ST Microsite

Check Point揭露遊戲平台重大安全漏洞

  • 吳冠儀台北

Check Point Software Technologies Ltd.的威脅情報部門Check Point Research,以及CyberInt,在美商藝電旗下的遊戲平台Origin中發現一系列漏洞,攻擊者可透過這些漏洞來盜取玩家的帳戶及身分。

作為全球第二大的遊戲公司,EA旗下擁有的遊戲包括《國際足盟大賽FIFA》、《勁爆美式足球Madden NFL》、《NBA Live》、《模擬市民》、《戰地風雲》等多款知名家用遊戲,而這些遊戲都使用Origin遊戲平台,允許玩家在個人電腦和行動裝置上購買及暢玩EA遊戲。Origin除了包含如個人資料管理、好友聊天聯繫及立即加入遊戲等網路社群功能,還與Facebook、Xbox Live、PlayStation Network和任天堂等平台進行了社群整合。

CyberInt和Check Point研究人員遵循協調的漏洞揭露原則,公布了EA的漏洞,讓EA能在攻擊者利用這些漏洞之前進行修復並推出更新,這些漏洞包含允許攻擊者攔截玩家進度,進而入侵和接管玩家帳戶。CyberInt和Check Point結合專業知識支援EA開發修復軟體,進一步加強對遊戲社群的保護。

EA遊戲及平台安全資深總監Adrian Stone表示,保護玩家的安全是我們的首要任務。根據CyberInt和Check Point的報告,啟動了產品安全回應流程來修復報告中的問題。遵循協調的漏洞揭露原則,未來更將廣泛的與網路安全社群攜手合作以強化彼此的關係,來保護EA遊戲玩家免於惡意攻擊。

EA平台中發現的漏洞未要求用戶提交任何登錄的詳細資訊。相反地,它是利用廢棄的子功能變數名稱和EA遊戲使用的身分驗證權限,結合內建於EA用戶登錄過程中的OAuth單一登錄和TRUST機制製造漏洞。

Check Point產品漏洞研究主管Oded Vanunu表示,EA Origin平台非常受歡迎,若這些漏洞不即時修復,駭客將攔截和利用數百萬用戶的帳戶;近期也在Epic Games的《要塞英雄》遊戲平台中發現漏洞,證明了雲端應用極易遭受攻擊和破壞。擁有大量敏感用戶資料的這些平台,也成為越來越多駭客的攻擊目標。

Check Point和CyberInt強烈建議用戶啟用雙重因素身分驗證,只在官方網站下載或購買遊戲,並對於未知來源的連結始終保持警惕。此外,家長也應讓孩子意識到網路詐騙的威脅,並警告他們網路犯罪分子會不擇手段地獲取玩家線上帳戶中的個人和財務資訊。

關鍵字