Google安全团队发现 暴风雪代理程式恐害玩家被黑客攻击
Google安全团队Project Zero成员Tavis Ormandy表示,任何人都可以发送特权指令给暴雪Battle.net,黑客能够发送下载请求给客户端,并安装Dll或是数据文件等。
Google安全团队Project Zero发现,全球拥有5亿玩家的暴风雪(Blizzard),其更新代理应用程序暴雪Battle.net存在DNS重新绑定漏洞,可能导致玩家被黑客绑架浏览恶意网站,暴风雪已在第5996版暴雪Battle.net修正完成。
暴雪Battle.net是暴风雪的独立桌面应用程序,用来安装、更新暴风雪旗下游戏,拥有储值、贩卖游戏及虚宝的功能,更新引擎还能接收指令更改设定或是执行维修等。暴雪Battle.net会建立JSON RPC服务器监听本地主机1120端口,并使用客制化认证格式以确保指令来自合法的来源,而网页程序能用XMLHttpRequest()指令与本地主机主机沟通。
Google安全团队Project Zero成员Tavis Ormandy表示,这样的设计并不保险,DNS重新绑定可以让任何网站轻易假冒成受信任的沟通对象,控制本地主机,也就是任何人都可以发送特权指令给暴雪Battle.net,黑客能够发送下载请求给客户端,并安装Dll或是数据文件等。Tavis Ormandy甚至写了概念性验证程序,证明他的猜想。
Tavis Ormandy在2017年12月初,透过在暴风雪工作的友人,告知暴雪Battle.net存在漏洞,暴风雪也在5996版的暴雪Battle.net修补了这个漏洞。Tavis Ormandy提到,暴风雪在12月22日后便不再回复他任何的讯息,且修复漏洞的方法没有采用他的提案,反而选择了更加复杂的方式,修复完也没有主动告知他,让他感到很不悦。