Come per molti dei problemi e degli exploit che vengono rilevati nelle diverse applicazioni, questa volta si trattava di un ricercatore appartenente alla società di sicurezza Context, di cui stiamo parlando specificamente Tom court, che ha appena pubblicato ufficialmente una serie di documenti che mostrano l'esistenza di un piccolo problema che è stato riscontrato nel software del Client desktop di Steam, che è presente, anche se potresti non crederci, negli ultimi 10 anni.
In realtà stiamo parlando di una vulnerabilità che, nonostante quello che potresti aver letto là fuori, poiché ci sono luoghi in cui sembra che il problema si stia attenuando, qualsiasi hacker con sufficiente conoscenza, se riesce a sfruttarlo, potrebbe persino prendere il controllo di qualsiasi computer su cui fosse installato quel client. La cosa peggiore dell'intera questione è che, nonostante il fatto che l'exploit sia presente nell'applicazione negli ultimi 10 anni, nessuna persona con conoscenze sufficienti per poter danneggiare un utente è stata in grado di scoprire la vulnerabilità.
Tom Court è stato l'esperto di sicurezza in grado di trovare una delle peggiori vulnerabilità del client del computer Steam
Entrando un po 'più nel dettaglio e come ha commentato lo stesso Tom Court, stiamo parlando di un problema con la sicurezza dell'applicazione molto semplice e, soprattutto e forse questo, è stato il rischio maggiore, molto facile da usare da qualsiasi hacker. Per avere un'idea, ti dico che il problema principale con Software Steam installato su più di 15 milioni di computer negli ultimi dieci anni è che mancava di protezione contro nuovi sviluppi di exploit.
Come ha commentato lo stesso Tom Court, a quanto pare, grazie a questa vulnerabilità, qualsiasi hacker sarebbe potuto riuscire a ottenere prendere il controllo di qualsiasi computer, rivelando completamente tutte le informazioni del suo proprietario o utente, comprese le credenziali di sistema e altri servizi. La parte migliore di tutte queste notizie è che, per una volta e forse a causa della semplicità di questi exploit, non vi è alcuna indicazione che alcun hacker abbia approfittato di questo terribile difetto di sicurezza.
Abbiamo dovuto aspettare fino al 2018 perché Valve risolvesse questo problema di sicurezza su Steam
Tutte queste informazioni sono venute alla luce dopo Valve, prevedibilmente parte di questo problema è stato risolto nel luglio 2017In particolare, a quanto pare, la parte più pericolosa della vulnerabilità è stata rimossa. Dopo questo aggiornamento curiosamente il software aveva ancora un bug, anche se minore poiché ciò causava solo l'arresto anomalo del client e l'hacker poteva distribuire solo in remoto codice dannoso sulla macchina della vittima. Infatti e per dimostrare questo fallimento, lo stesso Tom Court ha realizzato un video, lo avete proprio all'inizio della voce estesa, dove lui stesso lancia in remoto l'applicazione calcolatrice sfruttando questo fallimento.
Come spesso accade, Tom Court ha informato Valve di questo fallimento e, da quando è stato scoperto, è stato non revisionato fino al 20 febbraio di quest'anno 2018, data in cui la versione beta del client ha risolto questa vulnerabilità. Il 22 marzo, questa versione ha smesso di essere beta e finalmente ha raggiunto tutti gli utenti. Come dettaglio, ti dico che nelle note di rilascio puoi trovare una riga in cui viene ringraziato lo stesso Tom Court.
Almeno e questa volta, nonostante sia passato troppo tempo da quando la vulnerabilità è stata rilevata fino a quando non è stata finalmente risolta, la verità è che Valve ha sempre prestato attenzione ai commenti di Tom Court e ha collaborato con lui per correggere il fallimento, cosa che contrasta con le misure presentate da altri tipi di società in cui questo tipo di contatto non è solitamente prestato attenzione.
Per maggiori informazioni: Contesto