Abo
  • Services:
Anzeige
Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Sicherheitslücken: "Feuchte Farbe" auf Steam geschmuggelt

Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht - und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht.

Der britische Student Ruby Nealon hat ein Programm namens Watch Paint Dry im Store von Steam veröffentlicht - ohne die Zustimmung von Valve. Mit der Aktion wollte Nealon zum einen zeigen, dass es auf Steam noch immer größere Sicherheitslücken gibt. Zum anderen sollte das Ganze ein Aprilscherz sein, der allerdings durch einen Fehler ein paar Tage zu früh online ging: "Watch Paint Dry" ist im angelsächsischen Raum der scherzhaft gemeinte Hinweis darauf, dass etwas extrem langweilig ist, ebenso langweilig, wie Farbe beim Trocknen zuzusehen.

Anzeige

Laut The Register hat Ruby Nealon zu einer Handvoll von Tricks gegriffen, um das vermeintliche Spiel auf Steam zu schmuggeln. Zuerst habe er ein Nutzerkonto auf Steam eröffnet, dann Ingame-Sammelkarten erstellt und diese durch Manipulation am HTML-Code als von Valve freigegeben gekennzeichnet.

Anschließend habe er auch die Einstellungen seines Nutzerkontos so ändern können, dass sie wie die von einem Valve-Mitarbeiter ausgesehen hätten. Nach wenigen weiteren, vergleichsweise simplen Schritten habe er Watch Paint Dry dann veröffentlichen können.

Dort ist es allerdings nicht lange geblieben, sondern wurde von Valve entfernt. Hackern mit bösen Absichten hätte dieses Zeitfenster allerdings schon reichen können, um Malware zumindest an ein paar Nutzer auszuliefern. Valve hat The Register gesagt, dass die Sicherheitslücken inzwischen geschlossen sind.

Nealon empfiehlt auf Basis seiner Erfahrungen, dass Shopbetreiber für nutzergenerierte Inhalte, die freigegeben werden müssen, aus Sicherheitsgründen die richtigen Prozesse wählen. Er rät ab von schlicht änderbaren Kennzeichnungen wie "Review ready" und "Reviewed". Stattdessen sollten nacheinander abzuarbeitende und über Tickets verfolgbare Abläufe eingerichtet werden.


eye home zur Startseite
benurb 30. Mär 2016

Ein nicht ganz unwichtiges Detail ist, dass Ruby Zugriff auf einen bereits für Steamworks...

Moe479 30. Mär 2016

nur den status selbst festzuhalten und nicht wer diesen warum wann gesetzt hat ist schon...



Anzeige

Stellenmarkt
  1. Polizeipräsidium Oberbayern Süd, Rosenheim
  2. operational services GmbH & Co. KG, Leinfelden-Echterdingen
  3. Bertrandt Services GmbH, Karlsruhe
  4. T-Systems International GmbH, Berlin


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 29,99€ (Vorbesteller-Preisgarantie)
  3. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  2. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  3. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  4. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  5. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  6. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  7. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  8. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  9. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor

  10. UP2718Q

    Dell verkauft HDR10-Monitor ab Mai 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fire TV Stick 2 im Test: Der Stick macht den normalen Fire TV (fast) überflüssig
Fire TV Stick 2 im Test
Der Stick macht den normalen Fire TV (fast) überflüssig
  1. Streaming Amazon bringt Alexa auch auf ältere Fire-TV-Geräte
  2. Streaming Amazon plant Fire TV mit 4K- und HDR-Unterstützung
  3. Fire TV Stick 2 mit Alexa im Hands on Amazons attraktiver Einstieg in die Streaming-Welt

Garmin Fenix 5 im Test: Die Minimap am Handgelenk
Garmin Fenix 5 im Test
Die Minimap am Handgelenk

Trutzbox Apu 2 im Test: Gute Privacy-Box mit kleiner Basteleinlage
Trutzbox Apu 2 im Test
Gute Privacy-Box mit kleiner Basteleinlage
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: ww2 ist langweilig

    ArchLInux | 17:41

  2. Re: Call of Battlefield ....

    medium_quelle | 17:35

  3. Re: Vllt mal die deutsche Seite spielen?

    144Neodym | 17:32

  4. Re: Steuerrecht

    NutzlastBaer | 17:29

  5. Re: Zensierung incoming / 42

    opodeldox | 17:25


  1. 12:40

  2. 11:55

  3. 15:19

  4. 13:40

  5. 11:00

  6. 09:03

  7. 18:01

  8. 17:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel