Abo
  • Services:
Anzeige
Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Sicherheitslücken: "Feuchte Farbe" auf Steam geschmuggelt

Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht - und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht.

Der britische Student Ruby Nealon hat ein Programm namens Watch Paint Dry im Store von Steam veröffentlicht - ohne die Zustimmung von Valve. Mit der Aktion wollte Nealon zum einen zeigen, dass es auf Steam noch immer größere Sicherheitslücken gibt. Zum anderen sollte das Ganze ein Aprilscherz sein, der allerdings durch einen Fehler ein paar Tage zu früh online ging: "Watch Paint Dry" ist im angelsächsischen Raum der scherzhaft gemeinte Hinweis darauf, dass etwas extrem langweilig ist, ebenso langweilig, wie Farbe beim Trocknen zuzusehen.

Anzeige

Laut The Register hat Ruby Nealon zu einer Handvoll von Tricks gegriffen, um das vermeintliche Spiel auf Steam zu schmuggeln. Zuerst habe er ein Nutzerkonto auf Steam eröffnet, dann Ingame-Sammelkarten erstellt und diese durch Manipulation am HTML-Code als von Valve freigegeben gekennzeichnet.

Anschließend habe er auch die Einstellungen seines Nutzerkontos so ändern können, dass sie wie die von einem Valve-Mitarbeiter ausgesehen hätten. Nach wenigen weiteren, vergleichsweise simplen Schritten habe er Watch Paint Dry dann veröffentlichen können.

Dort ist es allerdings nicht lange geblieben, sondern wurde von Valve entfernt. Hackern mit bösen Absichten hätte dieses Zeitfenster allerdings schon reichen können, um Malware zumindest an ein paar Nutzer auszuliefern. Valve hat The Register gesagt, dass die Sicherheitslücken inzwischen geschlossen sind.

Nealon empfiehlt auf Basis seiner Erfahrungen, dass Shopbetreiber für nutzergenerierte Inhalte, die freigegeben werden müssen, aus Sicherheitsgründen die richtigen Prozesse wählen. Er rät ab von schlicht änderbaren Kennzeichnungen wie "Review ready" und "Reviewed". Stattdessen sollten nacheinander abzuarbeitende und über Tickets verfolgbare Abläufe eingerichtet werden.


eye home zur Startseite
benurb 30. Mär 2016

Ein nicht ganz unwichtiges Detail ist, dass Ruby Zugriff auf einen bereits für Steamworks...

Moe479 30. Mär 2016

nur den status selbst festzuhalten und nicht wer diesen warum wann gesetzt hat ist schon...



Anzeige

Stellenmarkt
  1. PTV Group, Karlsruhe
  2. DPD Deutschland GmbH, Aschaffenburg
  3. Schwarz Dienstleistung KG, Neckarsulm
  4. DERMALOG Identification Systems GmbH, Hamburg


Anzeige
Top-Angebote
  1. (heute u. a. mit Soundbars und Heimkinosystemen, ASUS-Notebooks, Sony-Kopfhörern, Garmin...
  2. 149,99€ (Vergleichspreis 319€)
  3. 399€ (Vergleichspreis 449€)

Folgen Sie uns
       


  1. Apple iOS 11 im Test

    Alte Apps weg, Daten weg, aber sonst alles gut

  2. Bitkom

    Ausbau mit Glasfaser kann noch 20 Jahre dauern

  3. Elektroauto

    Nikolas E-Trucks bekommen einen Antrieb von Bosch

  4. HHVM

    Facebook konzentriert sich künftig auf Hack statt PHP

  5. EU-Datenschutzreform

    Bitkom warnt Firmen vor Millionen-Bußgeldern

  6. Keybase Teams

    Opensource-Teamchat verschlüsselt Gesprächsverläufe

  7. Elektromobilität

    In Norwegen fehlen Ladesäulen

  8. Metroid Samus Returns im Kurztest

    Rückkehr der gelenkigen Kopfgeldjägerin

  9. Encrypted Media Extensions

    Web-DRM ist ein Standard für Nutzer

  10. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wireless Qi: Wie die Ikealampe das iPhone lädt
Wireless Qi
Wie die Ikealampe das iPhone lädt
  1. Noch kein Standard Proprietäre Airpower-Matte für mehrere Apple-Geräte

Edge Computing: Randerscheinung mit zentraler Bedeutung
Edge Computing
Randerscheinung mit zentraler Bedeutung
  1. Software AG Cumulocity IoT bringt das Internet der Dinge für Einsteiger
  2. DDoS 30.000 Telnet-Zugänge für IoT-Geräte veröffentlicht
  3. Deutsche Telekom Narrowband-IoT-Servicepakete ab 200 Euro

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone X Apples iPhone mit randlosem OLED-Display kostet 1.150 Euro
  3. Apple iPhone 8 und iPhone 8 Plus lassen sich drahtlos laden

  1. Re: Macht das überhaupt Sinn, eTrucks?

    logged_in | 21:01

  2. Re: na dann ist es nur noch ne frage der zeit bis...

    Sander Cohen | 21:01

  3. RAID6? Auf dem einen Bild erkennt man, ...

    philosophos | 21:00

  4. Re: Seit Monaten bekannt.

    coass | 20:58

  5. Performance

    flow77 | 20:53


  1. 19:04

  2. 18:51

  3. 18:41

  4. 17:01

  5. 16:46

  6. 16:41

  7. 16:28

  8. 16:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel