Abo
  • Services:

Sicherheitslücken: "Feuchte Farbe" auf Steam geschmuggelt

Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht - und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht.

Artikel veröffentlicht am ,
Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Der britische Student Ruby Nealon hat ein Programm namens Watch Paint Dry im Store von Steam veröffentlicht - ohne die Zustimmung von Valve. Mit der Aktion wollte Nealon zum einen zeigen, dass es auf Steam noch immer größere Sicherheitslücken gibt. Zum anderen sollte das Ganze ein Aprilscherz sein, der allerdings durch einen Fehler ein paar Tage zu früh online ging: "Watch Paint Dry" ist im angelsächsischen Raum der scherzhaft gemeinte Hinweis darauf, dass etwas extrem langweilig ist, ebenso langweilig, wie Farbe beim Trocknen zuzusehen.

Stellenmarkt
  1. Kratzer Automation AG, verschiedene Standorte
  2. infoteam Software AG, Bubenreuth bei Erlangen, Stuttgart

Laut The Register hat Ruby Nealon zu einer Handvoll von Tricks gegriffen, um das vermeintliche Spiel auf Steam zu schmuggeln. Zuerst habe er ein Nutzerkonto auf Steam eröffnet, dann Ingame-Sammelkarten erstellt und diese durch Manipulation am HTML-Code als von Valve freigegeben gekennzeichnet.

Anschließend habe er auch die Einstellungen seines Nutzerkontos so ändern können, dass sie wie die von einem Valve-Mitarbeiter ausgesehen hätten. Nach wenigen weiteren, vergleichsweise simplen Schritten habe er Watch Paint Dry dann veröffentlichen können.

Dort ist es allerdings nicht lange geblieben, sondern wurde von Valve entfernt. Hackern mit bösen Absichten hätte dieses Zeitfenster allerdings schon reichen können, um Malware zumindest an ein paar Nutzer auszuliefern. Valve hat The Register gesagt, dass die Sicherheitslücken inzwischen geschlossen sind.

Nealon empfiehlt auf Basis seiner Erfahrungen, dass Shopbetreiber für nutzergenerierte Inhalte, die freigegeben werden müssen, aus Sicherheitsgründen die richtigen Prozesse wählen. Er rät ab von schlicht änderbaren Kennzeichnungen wie "Review ready" und "Reviewed". Stattdessen sollten nacheinander abzuarbeitende und über Tickets verfolgbare Abläufe eingerichtet werden.



Anzeige
Spiele-Angebote
  1. 33,49€
  2. 4,99€
  3. 7,77€
  4. 59,99€ mit Vorbesteller-Preisgarantie (Release 05.10.)

benurb 30. Mär 2016

Ein nicht ganz unwichtiges Detail ist, dass Ruby Zugriff auf einen bereits für Steamworks...

Moe479 30. Mär 2016

nur den status selbst festzuhalten und nicht wer diesen warum wann gesetzt hat ist schon...


Folgen Sie uns
       


Sony Xperia XZ3 - Hands on (Ifa 2018)

Das neue Xperia XZ3 von Sony kommt mit Oberklasse-Hardware und interessanten Funktionen, die dem Nutzer den Alltag erleichtern können. Außerdem hat das Gerät einen OLED-Bildschirm, eine Premiere bei einem Smartphone von Sony.

Sony Xperia XZ3 - Hands on (Ifa 2018) Video aufrufen
Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

    •  /