在pwnage之前插上
电子艺术原产品游戏平台中的漏洞使大门开放到劫持了劫持。
一系列漏洞为攻击者创造了一种可能的机制,以查看用户的信用卡信息并接管目标原产地帐户以欺诈性地购买游戏内货币等。
该问题是由检查点和网络迹象的一组研究人员发现的 - 源于EA的身份验证系统和登录过程中的缺陷。
更具体地说,EA使用身份验证令牌与Oauth单一签名(SSO)和信任机制有缺陷。
研究人员开发的概念证明攻击部分依赖于劫持由Azure建立的冗余子域。
即使是EA不再使用的子域,也仍在重定向到EA的官方领域,提供了在EA的环境中利用的途径。
“在我们的研究中,我们发现ea-invite-reg.azurebeplay体育能用吗websites.net在Azure Cloud Services中不再使用服务。”博客文章。“但是,独特的子域eaplayinvite.ea.com仍然使用CNAME配置重定向到它。”
在EA的Azure帐户上创建新的注册请求后,劫持子域eaplayinvite.ea.com在此过程中,研究人员能够监视有效的EA用户提出的请求。
这使攻击的第二部分发挥了作用。
研究人员能够滥用EA.com和Origin.com域及其子域之间的信任机制,以操纵OAUTH流程,从而在此过程中窃取令牌和劫持帐户的手段。
Cyberint的安全研究人员Daniela Perlmutter解释说:“尽管EA Games并没有通过与最佳行业实践一致实施安全措施来使我们的生活变得轻松,但我们能够欺骗用户参观包含的恶意着陆页有效载荷使我们能够最终劫持会话。”
一个Youtube 视频通过检查点汇总证明了概念hack的证明。
攻击有一些局限性,但仍然可以利用。幸运的是,奥运会开发商已经阻止了威胁,然后滥用威胁就造成任何伤害。
每日swbeplay2018官网ig已联系EA发表评论。
在游戏中
这并不是第一次在线游戏庞然大物(FIFA的出版商,模拟人生和荣誉勋章等)成为网络安全脆弱性的受害者。beplay体育能用吗
上个月,独立安全研究员显示如何滥用QT中的URI参数注入漏洞(Origin背后的开源GUI工具包),以迫使游戏客户端加载后门插件。
在有消息称,Origin桌面客户端的漏洞留下了数百万个Windows PC游戏玩家之后一个月。容易受到pwnage的影响。
弱者安全的研究人员Dominik Penner和Daley Bee发现并报告了远程代码执行漏洞,这些漏洞迅速采取了修补。
