Jedes Mal, wenn ich einen neuen Artikel über Electronic Arts veröffentliche, stirbt ein Teil von mir ein wenig. Diese Woche (eher in dieser Stunde) geht es um EAs Direkt-Download-Client Origin und das massiv Sicherheitslücke, durch die mehr als 40 Millionen Benutzer für Exploits von Drittanbietern gefährdet werden.
Die Teilnehmer eines Black Hat-Events am vergangenen Freitag in Amsterdam haben den Exploit erkannt und demonstriert, indem sie schädliche Software auf anfälligen Computern installiert haben. "Mit der Origin-Plattform können böswillige Benutzer lokale Schwachstellen oder Funktionen ausnutzen, indem sie den Origin-URI-Handhabungsmechanismus missbrauchen", erläuterten die ReVuln-Forscher Donato Ferrante und Luigi Auriemma während der Veranstaltung. In Laienbegriffen greift ein Benutzer im Spiel auf eine URI zu, und die Überlagerung von Origin wird dazu verleitet, sie als benutzerfreundlichen Installationslink zu behandeln. Leider anstatt herunterzuladen Battlefield 3, du bist mit Battlefield: Töte deine GPU.
Durch Ändern der Variablen in den zugrunde liegenden URI-Links können die Befehle zum Starten eines Spiels durch Anweisungen ersetzt werden, die bewirken, dass ein Computer stattdessen ein Schadprogramm installiert. Die Technik arbeitet gegen Leute, die installiert haben Crysis 3 und eine Vielzahl anderer Spiele. Andere Techniken wirken sich auf Computer aus, auf denen andere Titel installiert sind.
Der Exploit ähnelt ausnahmsweise dem, der Steam Ende letzten Jahres getroffen hat. Soweit ich das beurteilen kann, hat Steam dieses Problem in seiner Architektur noch nicht behoben. Dies weist entweder darauf hin, dass der Exploit zu kompliziert ist, um ihn zu beheben (zweifelhaft), oder dass das Sicherheitsrisiko ein notwendiges Risiko darstellt, und beide Unternehmen sind der Ansicht, dass die Vorteile des URI-Systems die Bedenken überwiegen (außergewöhnlich wahrscheinlicher, wenn nicht sogar leicht enttäuschend) ).
In letzter Zeit ist die Aufmerksamkeit der Medien zunehmend auf eine schlechte EA gerichtet, und Aktienberichte deuten auf ein langsam sinkendes Unternehmen hin. Ich sage nicht, dass Sie das Schiff verlassen sollten - ich sage nicht einmal, dass EA sich nicht von Q1 2013 erholen kann - aber ich bin Sprichwort ist, dass es definitiv Platz für ein weiteres kostenloses Spiel in meiner Origin-Bibliothek gibt, EA.
War nur Spaß. Meistens.