Gamesplatform Steam is getroffen door een grootschalige kwetsbaarheid. Door het profiel van een Steam-gebruiker te bezoeken, kunnen er op de achtergrond stiekem processen worden uitgevoerd.

Dat ontdekten bezoekers van Reddit. Steam-beheerder Valve zou inmiddels op de hoogte zijn gebracht van de kwetsbaarheid. Het bedrijf maakte vervolgens aan het eind van de dinsdagmiddag bekend het lek gedicht te hebben.

Een gebruiker kan zijn profiel op Steam zo aanpassen, dat er specifieke JavaScript-code in de achtergrond aanwezig is. Deze code wordt automatisch uitgevoerd als een slachtoffer dit profiel bezoekt.

De code kan worden misbruikt voor bijvoorbeeld phishing, om een gebruiker automatisch door te sturen naar een malafide inlogpagina. Ingevoerde gebruikersinformatie wordt vervolgens naar de aanvaller verstuurd.

Geld

Het zou ook mogelijk zijn om geld in de Steam Market-portemonnee van het slachtoffer uit te geven binnen de gameswinkel. Hier zou het slachtoffer op geen enkel moment van op de hoogte worden gebracht. Omdat de Market geld gebruikt dat de gebruiker in een aparte portemonnee heeft, hoeft hier geen bevestigingsknop voor worden ingedrukt.

Onderdelen van pagina’s binnen een Steam-profiel kunnen volgens de ontdekkers volledig worden aangepast, waardoor internetcriminelen vrij zijn om pagina’s binnen de Steam-browser samen te stellen en te tonen. 

Adresbalk

Bezoekers van Steam worden door een webontwikkelaar geadviseerd om bij de opties van de gameswinkel de adresbalk in te schakelen. Hierin wordt de link van een bezochte pagina getoond, waaruit kan blijken of het om een phishingpagina gaat. 

Gebruikers zouden de ontdekte kwetsbaarheid alleen kunnen omzeilen door tijdelijk geen gebruikersprofielen binnen Steam te bezoeken.

Reacties mogelijk gemaakt door CComment