2019 年 1 月 21日，網(wǎng)絡(luò)安全解決方案提供商 Check Point軟件科技有限公司的研究人員近日公布了《堡壘之夜》漏洞詳情。《堡壘之夜》是一款非常受歡迎的在線戰(zhàn)斗游戲，這款游戲的所有玩家都可能會成為該漏洞的受害者。

《堡壘之夜》在全球擁有近 8000 萬玩家，受到所有游戲平臺玩家的熱捧，包括 Android、iOS、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等游戲機(jī)。除了業(yè)余玩家外，《堡壘之夜》也是職業(yè)玩家進(jìn)行在線游戲直播的寵兒，而且也深受電競愛好者的歡迎。

漏洞一旦遭到利用，攻擊者便能夠完全獲取用戶帳號和個人信息，以及使用受害者的支付卡購買虛擬游戲貨幣。此外，攻擊者還可大肆侵犯隱私，例如偷聽游戲聊天以及受害者家中或其他游戲場所周圍的聲音和對話。盡管《堡壘之夜》玩家此前曾遭遇欺騙攻擊，即引誘他們登錄承諾生成《堡壘之夜》“V-Buck”游戲貨幣的虛假網(wǎng)站，但這些新漏洞無需玩家提供任何登錄細(xì)節(jié)便能夠被黑客利用。

研究人員概述了攻擊者如何通過在《堡壘之夜》用戶登錄過程中發(fā)現(xiàn)的漏洞來獲取用戶帳號。研究人員在 Epic Games 的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中發(fā)現(xiàn)了三個漏洞缺陷，得以探悉攻擊者如何同時利用基于令牌的身份驗(yàn)證流程和單點(diǎn)登錄 (SSO) 系統(tǒng)（如Xbox）盜取用戶訪問憑證和帳號。

玩家只要點(diǎn)擊來自 Epic Games 域名、經(jīng)過精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚鏈接便會受到攻擊，雖然鏈接看起來很正常，但卻是攻擊者發(fā)送的。點(diǎn)擊該鏈接后，用戶即便沒有輸入任何登錄憑證，攻擊者也可輕松捕獲其《堡壘之夜》的身份驗(yàn)證令牌。Check Point 研究人員稱，Epic Games 兩個子域名中的缺陷產(chǎn)生的潛在漏洞極易遭到惡意重定向，從而導(dǎo)致用戶的合法身份驗(yàn)證令牌被黑客通過受到攻擊的子域名攔截。

Check Point中國區(qū)總經(jīng)理陳欣表示：“《堡壘之夜》是在線玩家中最流行的游戲之一。這些缺陷為攻擊者大肆侵犯隱私提供了可乘之機(jī)。我們近日還在主流無人機(jī)制造商所用的平臺中發(fā)現(xiàn)了漏洞，這些缺陷和漏洞說明云應(yīng)用極易遭受攻擊和破壞。這些平臺擁有大量的敏感客戶數(shù)據(jù)，因此，為越來越多的黑客所窺伺。實(shí)施雙重因素身份驗(yàn)證能夠幫助緩解這種賬戶竊取漏洞?！?/span>

Check Point 已經(jīng)向 Epic Games 通知了該漏洞（現(xiàn)已修復(fù)）的存在。Check Point 和 Epic Games 建議所有用戶在交換數(shù)字信息時保持警惕，并且在與他人進(jìn)行線上互動時養(yǎng)成安全的網(wǎng)絡(luò)習(xí)慣。? 對于在用戶論壇和網(wǎng)站上看到的信息鏈接，用戶應(yīng)當(dāng)對其合法性保持懷疑的態(tài)度。

企業(yè)必須對其 IT 基礎(chǔ)設(shè)施進(jìn)行全面和定期的安全檢查，確保過期和不用的網(wǎng)站或訪問點(diǎn)已經(jīng)下線。此外，對已經(jīng)不使用但仍然在線的過期網(wǎng)站或子域名進(jìn)行審查也是可取的做法。

為了最大限度地降低此類漏洞帶來的威脅，用戶應(yīng)當(dāng)啟用雙重因素身份驗(yàn)證，確保在新設(shè)備上登錄賬戶時，需要輸入發(fā)送到賬戶持有人電子郵箱中的驗(yàn)證碼。同樣重要的是，家長讓孩子們意識到網(wǎng)絡(luò)欺詐的威脅，并警告他們網(wǎng)絡(luò)犯罪分子將會不擇手段地獲取玩家在線賬戶中的個人和財(cái)務(wù)信息。

崔歡歡