Rovnako ako pri mnohých problémoch a zneužitiach, ktoré sú zistené v rôznych aplikáciách, tentokrát išlo o výskumného pracovníka patriaceho k bezpečnostnej spoločnosti Context, konkrétne ide o Tom súd, ktorá práve oficiálne zverejnila sériu dokumentov dokazujúcich existenciu malého problému, ktorý sa našiel v softvéri Steam desktopový klient, ktorá je prítomná, aj keď tomu možno neveríte, posledných 10 rokov.
Konkrétne hovoríme o zraniteľnosti, ktorú napriek tomu, čo ste si mohli prečítať, že existujú miesta, kde sa zdá, že sa problém zmierňuje, môže každý hacker s dostatočnými znalosťami, ak sa im ho podarí zneužiť, dokonca dostať prevziať kontrolu nad akýmkoľvek počítačom, na ktorom bol nainštalovaný tento klient. Najhoršie na celej tejto otázke je, že napriek skutočnosti, že zneužitie sa v aplikácii vyskytlo posledných 10 rokov, žiadna osoba s dostatočnými znalosťami na to, aby mohla používateľovi ublížiť, nedokázala odhaliť túto chybu.
Tom Court bol bezpečnostným expertom schopným nájsť jednu z najhorších zraniteľností klienta počítača Steam
Keď pôjdeme trochu podrobnejšie a ako sám poznamenal Tom Court, hovoríme o probléme so zabezpečením veľmi jednoduchej aplikácie a predovšetkým a možno to bolo najväčšie riziko, ktoré každý hacker veľmi ľahko použije. Ak chcete získať predstavu, povedzte vám, že hlavným problémom je Softvér Steam, ktorý bol nainštalovaný na viac ako 15 miliónov počítačov za posledných desať rokov je to, že mu chýbala ochrana pred novým vývojom využívania.
Ako sám poznamenal Tom Court, zjavne sa vďaka tejto zraniteľnosti mohol dostať akýkoľvek hacker prevziať kontrolu nad akýmkoľvek počítačom, ktorý úplne odhaľuje všetky informácie o jeho vlastníkovi alebo používateľovi, vrátane systémových poverení a ďalších služieb. Najlepšie na všetkých týchto novinkách je, že raz a možno kvôli jednoduchosti ich zneužitia nič nenasvedčuje tomu, že by nejaký hrozný bezpečnostný nedostatok využil nejaký hacker.
Na vyriešenie tohto bezpečnostného problému v službe Steam sme si museli počkať do roku 2018, kým spoločnosť Valve nevyrieši tento problém so zabezpečením
Všetky tieto informácie vyšli najavo predvídateľne po Valve časť tohto problému bola vyriešená v júli 2017Konkrétne sa zdá, že najnebezpečnejšia časť zraniteľnosti bola odstránená. Po tejto aktualizácii zvedavo softvér mal stále chybu, aj keď menšiu pretože to spôsobilo iba zrútenie klienta a hacker mohol len vzdialene nasadiť škodlivý kód na stroj obete. V skutočnosti a na demonštráciu tohto neúspechu sám Tom Court vytvoril video, máte ho hneď na začiatku rozšíreného záznamu, kde sám na diaľku spustí aplikáciu kalkulačky, ktorá toto zlyhanie využije.
Tom Court, ako to často býva, informoval spoločnosť Valve o tomto zlyhaní a od jeho odhalenia až do 20. februára tohto roku 2018, teda do dátumu, kedy beta verzia klienta túto chybu zabezpečení vyriešila, bude bez kontroly. 22. marca prestala byť táto verzia beta a konečne sa dostala ku všetkým používateľom. Ako podrobnosť vám povieme, že v poznámkach k vydaniu nájdete riadok, kde je poďakovanie samotnému Tom Courtovi.
Prinajmenšom a tentoraz, napriek skutočnosti, že od zistenia zraniteľnosti uplynulo príliš veľa času, kým sa nakoniec nevyriešila, je pravda, že Spoločnosť Valve vždy zohľadňovala komentáre Toma Courta a spolupracovala s ním napraviť zlyhanie, čo je v protiklade s opatreniami predloženými inými typmi spoločností, kde sa tomuto typu kontaktu obvykle nevenuje pozornosť.
Viac informácií: Kontext