热门在线游戏《漫威对决》(Marvel Rivals )中发现了一个严重的安全漏洞,这引发了对黑客可能利用不知情玩家的担忧。该漏洞被认定为远程代码执行(RCE)漏洞,同一网络中的攻击者可借此在其他玩家设备上运行任意代码。这一缺陷凸显了游戏行业安全措施方面一直存在的问题。问题源于《漫威对决》的热修复补丁系统,该系统使用远程代码执行来更新游戏。然而,该系统并未验证其连接的是否为合法游戏服务器。雪上加霜的是,游戏在玩家设备上以管理员权限运行,这一举措本是为了防止作弊,但却极大地增加了被利用的风险。这种不安全的服务器验证与提升的权限相结合,为攻击者创造了绝佳机会。黑客只需与受害者处于同一 Wi-Fi 网络,就能在受害者不知情的情况下在其设备上执行有害命令。RCE 漏洞是软件中最危险的漏洞之一,因为它们能让攻击者完全控制一个系统。这个漏洞的影响范围不止于个人电脑。研究人员分享的一个概念验证视频显示,该漏洞还可能成为攻击运行《漫威对决》的 PlayStation 5 主机的切入点。这引发了对更广泛平台安全的担忧,以及对其他游戏或系统中可能存在类似漏洞的担忧。这个漏洞的发现凸显了游戏行业反复出现的一个问题:对安全的关注不足。发现该漏洞的研究人员对开发者对漏洞报告的无动于衷表示失望。他们透露,在过去一年里,他们在多款大型游戏中至少发现了五个严重漏洞,其中三个因开发者反应迟缓或漠不关心而仍未修复。许多游戏公司缺乏漏洞赏金计划,这使得问题更加严重。如果没有激励措施或明确的报告渠道,安全研究人员往往不愿负责任地披露漏洞。相反,一些人可能会制作作弊程序或机器人,这可能更有利可图,但对玩家群体有害。研究人员表示:“对大多数游戏开发公司来说,安全研究人员很难向他们报告漏洞。除此之外,大多数公司都没有漏洞赏金计划。”开发者必须优先验证服务器连接、限制管理员权限,并建立明确的漏洞报告渠道。像一些公司成功实施的漏洞赏金计划,在鼓励负责任的漏洞披露和提高整体游戏安全性方面能发挥很大作用。这个漏洞的发现得益于与几位贡献者的合作,包括 AeonLucid、LukeFZ、nitro 和 sanktanglia,他们协助进行了网络加密分析。随着在线游戏越来越受欢迎,它作为网络攻击目标的吸引力也在增加。开发者必须积极主动采取措施,确保在类似这样的漏洞被大规模利用之前,他们的游戏对玩家来说是安全的。
