Al igual que ocurre con muchos de los problemas y exploit que son detectados en las diferentes aplicaciones, en esta ocasión ha sido un investigador perteneciente a la firma de seguridad Context, hablamos concretamente de Tom Court, el que acaba de publicar oficialmente una serie de documentos donde demuestra la existencia de pequeño problema que ha sido encontrado en el software del cliente de escritorio de Steam, mismo que ha estado presente, aunque no te lo puedas creer, durante los últimos 10 años.
Cocretamente hablamos de una vulnerabilidad que, a pesar de lo que puedas haber leído por ahí, ya que hay sitios donde parece que se está suavizando el problema, cualquier hacker con conocimientos suficientes, de conseguir explotarlo podría llegar incluso a tomar el control de cualquier ordenador que tuviese ese cliente instalado. Lo peor de todo este asunto es que, a pesar de que el exploit ha estado presente en la aplicación durante los últimos 10 años, aparecer ninguna persona con conocimientos suficientes para poder hacer daño a un usuario ha conseguido descubrir la vulnerabilidad.
Tom Court ha sido el experto en seguridad capaz de encontrar una de las peores vulnerabilidades del cliente de ordenador de Steam
Entrando un poco más en detalle y según ha comentado el propio Tom Court, hablamos de un problema con la seguridad de la aplicación muy simple y, sobre todo y quizá este haya sido el mayor riesgo, muy fácil de utilizar por cualquier hacker. Para hacernos una idea, comentarte que el principal problema con el software de Steam que ha estado instalado en más de 15 millones de ordenadores durante los últimos diez años es que carecía de protección contra los nuevos desarrollos de exploits.
Según ha comentado el propio Tom Court, al parecer, gracias a esta vulnerabilidad, cualquier hacker podría haber llegado a conseguir tomar el control de cualquier ordenador, dejando completamente al descubierto toda la información de su propietario o usuario, incluidas las credenciales del sistema y otros servicios. Lo mejor de toda esta noticia es que, por una vez y quizá debido a la sencillez de este exploits, no existen indicios de que ningún hacker haya aprovechado este terrible fallo de seguridad.
Hemos tenido que esperar hasta 2018 para que Valve haya conseguido solucionar este problema de seguridad en Steam
Toda esta información ha salido a la luz después de que Valve, previsiblemente solucionase parte parte de este problema en julio de 2017, concretamente, al parecer, se eliminó la parte más peligrosa de la vulnerabilidad. Después de esta actualización curiosamente el software seguía presentando un fallo, aunque de menor alcance ya que este tan sólo provocaba el colapso del cliente y el hacker tan sólo podía implementar código malicioso de forma remota en la máquina de la víctima. De hecho y para demostrar este fallo, el propio Tom Court realizó un vídeo, lo tienes justo al inicio de la entrada extendida, donde él mismo lanza la aplicación de calculadora de forma remota aprovechando este fallo.
Como suele ocurrir, Tom Court informó a Valve de este fallo y, desde que fuese descubierto, ha estado sin revisar hasta el pasado 20 de febrero de este mismo año 2018, fecha en la que la versión beta del cliente solucionaba esta vulnerabilidad. El pasado 22 de marzo esta versión dejó de ser beta y finalmente llegó a todos los usuarios. Como detalle, comentarte que en las notas de la versión se puede encontrar una línea donde se le dan las gracias al propio Tom Court.
Al menos y en esta ocasión, a pesar de que haya pasado demasiado tiempo desde que se detectó la vulnerabilidad hasta que finalmente ha sido resuelta, lo cierto es que Valve en todo momento prestó atención a los comentarios de Tom Court y ha colaborado con él para conseguir subsanar el fallo, algo que contrasta con las medidas presentadas por otro tipo de empresas donde no se suele prestar atención a este tipo de contactos.
Más información: Context