Abo
  • Services:
Anzeige
Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Sicherheitslücken: "Feuchte Farbe" auf Steam geschmuggelt

Watch Paint Dry auf Steam
Watch Paint Dry auf Steam (Bild: Steam)

Immer wieder klagen Nutzer über Sicherheitslücken auf Steam, jetzt hat ein Student die Sache mal aus Entwicklersicht untersucht - und ein angebliches Programm namens "Watch Paint Dry" ohne Zustimmung von Valve im Store veröffentlicht.

Der britische Student Ruby Nealon hat ein Programm namens Watch Paint Dry im Store von Steam veröffentlicht - ohne die Zustimmung von Valve. Mit der Aktion wollte Nealon zum einen zeigen, dass es auf Steam noch immer größere Sicherheitslücken gibt. Zum anderen sollte das Ganze ein Aprilscherz sein, der allerdings durch einen Fehler ein paar Tage zu früh online ging: "Watch Paint Dry" ist im angelsächsischen Raum der scherzhaft gemeinte Hinweis darauf, dass etwas extrem langweilig ist, ebenso langweilig, wie Farbe beim Trocknen zuzusehen.

Anzeige

Laut The Register hat Ruby Nealon zu einer Handvoll von Tricks gegriffen, um das vermeintliche Spiel auf Steam zu schmuggeln. Zuerst habe er ein Nutzerkonto auf Steam eröffnet, dann Ingame-Sammelkarten erstellt und diese durch Manipulation am HTML-Code als von Valve freigegeben gekennzeichnet.

Anschließend habe er auch die Einstellungen seines Nutzerkontos so ändern können, dass sie wie die von einem Valve-Mitarbeiter ausgesehen hätten. Nach wenigen weiteren, vergleichsweise simplen Schritten habe er Watch Paint Dry dann veröffentlichen können.

Dort ist es allerdings nicht lange geblieben, sondern wurde von Valve entfernt. Hackern mit bösen Absichten hätte dieses Zeitfenster allerdings schon reichen können, um Malware zumindest an ein paar Nutzer auszuliefern. Valve hat The Register gesagt, dass die Sicherheitslücken inzwischen geschlossen sind.

Nealon empfiehlt auf Basis seiner Erfahrungen, dass Shopbetreiber für nutzergenerierte Inhalte, die freigegeben werden müssen, aus Sicherheitsgründen die richtigen Prozesse wählen. Er rät ab von schlicht änderbaren Kennzeichnungen wie "Review ready" und "Reviewed". Stattdessen sollten nacheinander abzuarbeitende und über Tickets verfolgbare Abläufe eingerichtet werden.


eye home zur Startseite
benurb 30. Mär 2016

Ein nicht ganz unwichtiges Detail ist, dass Ruby Zugriff auf einen bereits für Steamworks...

Moe479 30. Mär 2016

nur den status selbst festzuhalten und nicht wer diesen warum wann gesetzt hat ist schon...



Anzeige

Stellenmarkt
  1. TAIFUN Software AG, Raum Bayern
  2. SICK AG, Waldkirch bei Freiburg im Breisgau
  3. DIEBOLD NIXDORF, Paderborn
  4. Fresenius Netcare GmbH, Bad Homburg


Anzeige
Spiele-Angebote
  1. 59,99€/69,99€ (Vorbesteller-Preisgarantie)
  2. 5,99€
  3. 14,99€

Folgen Sie uns
       


  1. Counter-Strike Go

    Bei Abschuss Ransomware

  2. Hacking

    Microsoft beschlagnahmt Fancy-Bear-Infrastruktur

  3. Die Woche im Video

    Strittige Standards, entzweite Bitcoins, eine Riesenkonsole

  4. Bundesverkehrsministerium

    Dobrindt finanziert weitere Projekte zum autonomen Fahren

  5. Mobile

    Razer soll Smartphone für Gamer planen

  6. Snail Games

    Dark and Light stürmt Steam

  7. IETF

    Netzwerker wollen Quic-Pakete tracken

  8. Surface Diagnostic Toolkit

    Surface-Tool kommt in den Windows Store

  9. Bürgermeister

    Telekom und Unitymedia verweigern Open-Access-FTTH

  10. Layton's Mystery Journey im Test

    Katrielle, fast ganz der Papa



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Drogenhandel Weltweit größter Darknet-Marktplatz Alphabay ausgehoben
  2. Kryptowährungen Massiver Diebstahl von Ether
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

IETF Webpackage: Wie das Offline-Internet auf SD-Karte kommen könnte
IETF Webpackage
Wie das Offline-Internet auf SD-Karte kommen könnte
  1. IETF DNS wird sicher, aber erst später
  2. IETF Wie TLS abgehört werden könnte
  3. IETF 5G braucht das Internet - auch ohne Internet

  1. Re: kein einziger meter

    Geistesgegenwart | 20:23

  2. Re: warum kann man die RTT nicht mehr messen?

    Poison Nuke | 20:21

  3. Und wie führt man dann den code aus?

    honna1612 | 20:15

  4. Re: Cooles Thema aber...

    Der Held vom... | 20:07

  5. Re: Perfekt für Razer Kunden!

    Subotai | 19:57


  1. 12:43

  2. 11:54

  3. 09:02

  4. 16:55

  5. 16:33

  6. 16:10

  7. 15:56

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel