Kwetsbaarheid maakte gamepublicatie zonder toestemming mogelijk op Steam

Door een kwetsbaarheid in de code van Steamworks was het mogelijk om een game uit te brengen op Steam, zonder dat Valve daarvan op de hoogte was. Zo wist beveiligingsonderzoeker Ruby Nealon kortstondig zijn 'game' Watch Paint Dry te publiceren.

Om gebruik te kunnen maken van de kwetsbaarheid had Ruby alleen een Steamworks-account nodig. Steamworks is Valves eigen platform voor het uitgeven van games en verzorgt opties als multiplayer voor ontwikkelaars. Met het account was hij daarna in staat om zijn zelfgemaakte 'spel' uit te brengen op Steam, zonder dat Valve de game had gezien, laat staan had gecontroleerd.

Dit kon doordat het mogelijk was om de broncode aan te passen tijdens het proces van het indienen van de game. Ook het publiceren van de trading cards voor de game was op die manier te doen zonder tussenkomst van Valve. Als een ontwikkelaar de kaarten indient, dan bekijkt Valve ze normaal gesproken eerst om te controleren of ze voldoen aan de regels. Bij het indienen van de kaarten kan de ontwikkelaar de status van de kaarten aangeven. De opties hiervoor zijn: Niet klaar, klaar voor controle en niet klaar vanwege aanpassingen.

De code achter de pagina voor de controle van de kaarten toonde aan Ruby dat Valve de sessie en het id-nummer van de ontwikkelaar volgt. Door het id-nummer aan te passen naar een nummer van iemand die waarschijnlijk werkt bij Valve, bijvoorbeeld nummer 1, en de waarde van de geselecteerde optie te veranderen in een niet bestaand nummer, kreeg Ruby een ander scherm voor ogen. Steamworks toonde een medewerker van Valve als de meest recente bewerker van de kaarten. Ook verscheen de optie voor 'uitgegeven' bij de uitgavestatus voor de kaarten. Door de waarde van die status door te voeren waren de kaarten plots goedgekeurd.

Code Steam Trading Cards

Voor de uitgave van de game zelf ging de Watch Paint Dry-ontwikkelaar nog een stapje verder. Volgens hem bestaat de Steamworks-website voornamelijk uit Ajax, oftewel Asynchronous JavaScript And XML. Alle code voor de JavaScript-functies waren zichtbaar voor Steamworks-leden. In de code vond hij de functie "ReleaseGame(appid, data)". Door de functie aan te roepen met zijn app-id en zijn session-id was de game zonder controle of tussenkomst gepubliceerd op het Steam-platform.

Code Steam Game release

Ruby zegt al een paar maanden te hebben geprobeerd om Valve op de hoogte te stellen van de kwetsbaarheden in de code. Toen Valve er niets mee deed wou hij er een 1-aprilgrap van maken door de releasedatum op 1 april te zetten. Zijn plan was dat Watch Paint Dry op die dag in de Steam Store zou verschijnen, maar de game werd al eerder zichtbaar. Nadat de 'game' op Steam verscheen heeft Valve deze snel offline gehaald en de kwetsbaarheden in de codes gerepareerd, zegt Ruby. Valve heeft hierover zelf geen bericht naar buiten gebracht.

Reacties (53)

copywizard 30 maart 2016 12:05

goed gedaan van dit team maar erg apart dat steam dit gewoon negeert ik had altijd het idee dat de mensen achter steam toch juist kaas hadden gegeten van dit soort dingen en er altijd snel op reageerde maar blijkbaar dus niet min puntje voor steam/valve in mijn ogen

Iblies @copywizard • 30 maart 2016 12:27

Lijkt me verstandiger dat elke softwarebedrijf of bedrijf die zeer afhankelijk is van zijn software, al dan niet geleverd door derde, met een beetje naam en faam er een bug-bounty-programma op na houdt.

Heel veel supportafdelingen zijn niets meer of minder dan externe (call)-centers met een naslagwerk van meest voorkomende vragen,
indien er te weinig kennis is of ze kunnen er geen uitspraak dan zou de vraag moeten worden doorgespeeld. Alleen gebeurt dat niet altijd.

Daar zitten regelmatig mensen waarvan de kwaliteit te wensen overlaat en dat zie je terugkomen in elke sector. Een Nederlands fenomeen is de belastingtelefoon. Maar weinig mensen weten dat er rond deze periode een hele doos mensen wordt opgetrommeld waarvan de algemene kennis wel goed is, maar op detail-niveau is het riskant. De een speelt netjes de vraag door, een ander hangt een half verhaal op waar je eigenlijk niets mee kunt. Vervolgens krijgen we het jaarlijks terugkerend bericht dat de belastingtelefoon te wensen overlaat.

bogy @Iblies • 31 maart 2016 07:33

Bij mij heeft GDATA wel een de opmerking gegeven dat er een virus in games zaten die van stea kwamen ...dit gebeurde echter niet vaak en was meestal ook steeds een ander spel... (heb best wel een grote library ik heb er indertijd ok over geklaagd maar emn wist noiot het feine ervan, ik denk dat dit raadsel nu dan ook is opgelost.

ChAiNsAwII @bogy • 1 april 2016 08:53

Dat klinkt echt als een broodje aap verhaal, games van steam waar virussen inzitten jaja

bogy @ChAiNsAwII • 1 april 2016 15:50

en toch heb ik een aantal keer meegemaakt dat gdata aangaf dat er een virus in mijn games zaten... en ik heb niets illegaals op mijn pc van hacks of bezoekn ook geen risicosites .... en toch gaf Gdata aan dat die exe's besmet waren en ik kon ze niet openen...

ook als ik ze opnieuw downloadde via steam bleken ze besmet te zijn...

ofwel was de gdata database dus voorzien van false positives (iets waar gdata juist bekend om stond dat die het minst voorkwamen) ofwel moest er dus echt iets met die bestanden mis ejjjjjjjjjjjjj
ik had twee mogelijkeden
1) probleem voorlopig een paar dagen negeren tot er automatisch een update kwam en het bestand dus automatisch vervangen werd door een andere executable
2) de executable terugplaatsen uit de quarantaine via de antivirus interface, en dan meteen de AV-software uitschakelen voordat die het bestand weer in de quarantaine zou gooien...

Zezura @copywizard • 30 maart 2016 13:37

Valve is vaker nalatig met kwetsbaarheden.

Pas op het moment dat het echte aandacht krijgt en er meerdere mensen weet van krijgen gaan ze er iets mee doen.. En dan nog zeggen ze ooit dat het niet ernstig is.

proditaki @Zezura • 31 maart 2016 07:22

Dat herken ik inderdaad. Toen laatst (met kerst dacht ik)de fout er was dat je op Valve's website de account gegevens van iemand anders zag(!) waren de reacties van Valve ook laat en spaarzaam. Eerst werd de store neergehaald toen, kennelijk, de bug gefixt, en enkele uren later kwam er pas een statement.

Caayn @copywizard • 30 maart 2016 15:18

Valve en support zijn nou niet twee woorden die heel goed samen gaan, helaas.

Matszs 30 maart 2016 12:16

Dat dit soort fouten nog voorkomen, je verwacht toch zeker in deze tijd wel dat ontwikkelaars rekening houden met client-serverside? En dus dat javascript en html aan te passen is...

eborn @Matszs • 30 maart 2016 13:48

Dit laat het volledige gebrek van rechtenvalidatie aan de kant van de API/applicatie server zien. Erg slecht. Daarom is het zo belangrijk om een goede set van tests te hebben die op dit soort dingen controleren. Rechten controleren is één van de simpelste tests die je kunt schrijven, met veel gemoedsrust tot gevolg

EliteGhost 30 maart 2016 13:48

Zeer goede en ludieke actie. 'Watch paint dry', was een goede grap geweest. Even een boze blik naar Valve dat ze niets tegen ons hebben gezegd. Althans, dit is de eerste keer dat ik er over lees.

Maar zo lang het betalingsverkeer en mijn account veilig zijn is dit niet iets om me echt zorgen over te maken.

dnrb @EliteGhost • 30 maart 2016 18:14

Je betalingsverkeer en account zijn niet veilig met zo'n lek
Zo'n nieuw ongecontroleerd spel kan een key-logger hebben, en allerlei andere spyware, die je wachtwoorden etc... probeert te ontfutselen en naar een criminele organisatie stuurt.
En nee je virus scanner detecteert dit niet je hebt immers zelf gekozen om dit te installeren.

Verwijderd @dnrb • 31 maart 2016 03:42

En nee je virus scanner detecteert dit niet

Zo werkt ie niet helemaal. Een AV kan met geen mogelijkheid vaststellen wat jij wel of niet denkt en kan daarmee dus ook niet met zekerheid vaststellen of die malware die zonder jouw medeweten is gedownload al dan niet wel met je medeweten is gedownload.
De eerste de beste AV die zegt -- "Weet je, je hebt dit zelf gedownload en opgestart, je bekijkt het maar" is geen lang leven beschoren.

dnrb @Verwijderd • 1 april 2016 18:36

Sorry,

Maar als jij beslist dat jij iets wil downloaden, dan is jouw virus scanner machteloos, tenzij het herkent word als malware...

Dat betekend dat software waarover initieel geen klachten zijn, maar na een maand of 6 bijvoorbeeld een nieuwe ransomware module downloaden gewoon overal langs glippen... totdat het te laat is en je bitcoins moet kopen om je data terug te krijgen.

Voor de duidelijkheid, als jij besluit een keylogger te installeren omdat je overspel van je partner vermoed, dan staat je virus scanner buiten spel. Jij wilt deze software downloaden. En zodra jij zegt ik wil deze software, of software update installeren kan je virusscanner niets meer doen, het was jouw bewuste keuze.

[Reactie gewijzigd door dnrb op 30 juli 2024 07:16]

Verwijderd @dnrb • 1 april 2016 21:02

Jij wilt deze software downloaden. En zodra jij zegt ik wil deze software, of software update installeren kan je virusscanner niets meer doen, het was jouw bewuste keuze.

Sorry hoor, maar zo werkt ie dus echt niet he. Wat als nou een perfect normaal proces wordt geinfecteerd door een virus? Dan wil je toch echt wel dat je AV dat oppikt. Hoe doet je AV dat? Onder andere door IEDER proces dat wordt opgestart te scannen. De ene AV houdt hier dan een database van bij (om prestaties van de AV te verbeteren), de andere doet dat niet. Feit blijft wel dat alle processen die worden opgestart op een PC worden gescanned door een AV.

Dat doen ze al sinds TBAV het hele concept AV naar een nieuwe hoogte tilde in de jaren 90.

Ergo, op het moment dat je malware installeert, zelfs al is dat compleet bewust, dan alsnog gaat je AV die echt wel scannen op het moment dat je die malware start. En dan krijg je toch echt wel een melding, ervan uitgaande dat de AV de malware herkent althans.

Heb jij uberhaupt ooit wel eens goed gekeken naar je AV en naar wat ie doet? En, naar het effect dat die AV heeft op de prestaties van je PC? Je kunt AVs zelfs zo hardvochtig instellen dat ze echt alles scannen dat uberhaupt wordt benaderd voor wat dan ook, of het nou het starten ervan is, het openen ervan (in het geval van een document), etc, etc, etc. Dat is doorgaans wel een enorme prestatie kostenpost maar goed, het werkt wel.

dnrb @Verwijderd • 2 april 2016 11:04

Heel leuk maar als jij bijvoorbeeld ransomware zelf installeert dan doet geen enkele virusscanner hier iets tegen. Virus scanner kunnen namelijk niet het verschil zien tussen gewone encryptie software en ransomware.
Maar blijf vooral slapen en erop vertrouwen dat AV altijd alles kan voorkomen. Ik vermoed dat jij ooit bitcoins gaat kopen....

Verwijderd @dnrb • 2 april 2016 13:32

Laat ook maar, het is het niet waard. Veel succes nog, dnrb!

[Reactie gewijzigd door Verwijderd op 30 juli 2024 07:16]

Maffie500 30 maart 2016 12:00

niet echt netjes van Valve. Ze hadden toch kunnen reageren om dit probleem sneller op te lossen.

Bazziek @Maffie500 • 30 maart 2016 12:07

Valve reageert op zaken zoals mijn kat op mij reageert, sporadisch en als het daar zin in heeft.

Pepper92 @Bazziek • 30 maart 2016 12:13

$_/-\o_$

$_/-\o_$

OT: Maar dit is dus een bekend probleem bij valve? Ik game zelf op de ps, maar dacht dat je bij valve / steam als consument wel goed zat, ook qua opties wat betreft games proberen en annuleren etc?

fastandfourier @Pepper92 • 30 maart 2016 12:18

Het verhaal ontspoort pas als er enige menselijke interactie van Valves kant aan te pas komt. Het terugvragen van je geld bijvoorbeeld verloopt redelijk automatisch. Als je echter een mail naar hun helpdesk stuurt, dan kan er soms een periode van twee maanden tussen jouw mail en hun antwoord zitten.

Pepper92 @fastandfourier • 30 maart 2016 12:21

Dat is dan erg jammer voor een bedrijf waar je als pc-gamer vrijwel (?) niet meer omheen kan.

fastandfourier @Pepper92 • 30 maart 2016 12:25

Dat is inderdaad jammer. Het trieste van de hele zaak is dat de CEO van dat bedrijf op Reddit verafgood wordt, terwijl daar niet echt aanleiding toe is.

http://gaben.tv/
http://gaben.sexy/
http://gabenislife.com/

Morress @fastandfourier • 30 maart 2016 13:13

Uh, volgens mij mis jij een sarcasme-gen

fastandfourier @Morress • 30 maart 2016 13:21

Vertel op.

Verwijderd @fastandfourier • 30 maart 2016 13:30

Als jij denk dat http://gaben.sexy/ een serieuze verafgoding is mis je inderdaad de mogelijkheid sarcasme te zien. Kom aan, je maakt een grap nietwaar?

fastandfourier @Verwijderd • 30 maart 2016 13:34

"[...] op Reddit verafgood [...]"

Pepper92 @Morress • 30 maart 2016 13:27

Edit: Ah ging daar niet over

[Reactie gewijzigd door Pepper92 op 30 juli 2024 07:16]

Verwijderd @fastandfourier • 31 maart 2016 03:35

Als je echter een mail naar hun helpdesk stuurt, dan kan er soms een periode van twee maanden tussen jouw mail en hun antwoord zitten.

Geen geintje; ik had een technische vraag over de Steam client. Na inderdaad een maand of 2 eindelijk antwoord -- "Geen idee, moet je de ontwikkelaars maar vragen."

... in mijn hoofd ging ik door een aantal antwoorden heen maar uiteindelijk besloot ik het er maar bij te laten en eieren voor mijn geld te kiezen en voor mijn eigen aanpak te gaan voor het oplossen van het 'probleem'.

Maffie500 @fastandfourier • 30 maart 2016 13:25

Ja inderdaad, volgens Valve was mijn account gehacked en was deze tijdelijk afgesloten. Dit heeft 3 weken geduurd voor het in orde was. Ik begon al serieuze afkickverschijnselen te krijgen.

Bron @Pepper92 • 30 maart 2016 13:59

Steam is de enige keuze met het aanbod wat ze hebben en het verdwijnen van hard copies van games.
Steam is niet geweldig, het is duur en het ziet er veroudert uit.
De enige reden dat mensen het zo praisen is vanwege de sales die ze hebben. Terwijl die ook enorm overrated zijn 9 van de 10 keer.

Het enige goede is de refund optie die ze vorig jaar brachten.

Lapa @Bron • 30 maart 2016 17:02

Wat is er dan niet goed aan Steam? Ik zeg niet dat het niet beter of mooier kan, maar voor mij doet het precies wat ik wil.

Dat ze duur zijn klopt, in ieder geval bij launch van nieuwe titels. Er zijn wel vaak erg goede aanbiedingen en je krijgt een mailtje als iets op je verlanglijst in de aanbieding is. Zelf heb ik al jaren niks meer gekocht dat niet in de aanbieding was en game dus vrij goedkoop via Steam.

Dit soort kwetsbaarheden en het gebrek aan reactie zijn natuurlijk wel ontzettend knullig en slecht. Als deze kerel slecht gezind was geweest en zijn spel niet 'Watch paint dry' maar 'Half Life 3' had genoemd en het was een virus geweest, dan had hij misschien flink wat schade kunnen veroorzaken voor Valve het eraf kon halen.

Robbedem @Lapa • 30 maart 2016 18:32

Er zijn veel zaken die bij Steam nog beter zouden kunnen (zoals je zelf eigenlijk ook al aangeeft):
- mogelijkheid voor grotere letters
- een bedrag in je verlanglijst kunnen toevoegen vanaf wanneer je een bepaalde game zou willen hebben. (dan krijg je tenminste geen mail meer dat een game in je verlanglijst in aanbieding is voor 10% sales...)
- een waarschuwing als je een game koopt met minimum requirements waar de hardware van je computer niet aan voldoet
- snellere respons van het support team als je echt een probleem hebt
- problemen met de automatische woordfilter (mijn gebruikersnaam wordt altijd gecensureerd om een of andere reden)
- ...

Verwijderd @Robbedem • 31 maart 2016 03:36

De Steam client muten! Ik wil de mogelijkheid hebben de Steam client te vertellen mijn audio device volledig met rust te laten. Maar, nee, dat gaat niet.

Verwijderd @Maffie500 • 30 maart 2016 13:25

niet echt netjes van Valve. Ze hadden toch kunnen reageren om dit probleem sneller op te lossen.

Is dit niet standaard gedrag van veel commerciële bedrijven?

batjes @Maffie500 • 30 maart 2016 12:05

Het is Valve, wat had je anders verwacht?

ultimasnake 30 maart 2016 12:27

Ik las broncode en dacht toen: nog best een gedoe, een programma decompilen, aanpassen, recompilen etc... Tot ik zag dat het om HTML broncode ging en iedere halve zool dit via Google Chrome en dergelijke out of the box kan bewerken en javascript middels code hinting al snel naar boven kunnen komen.... en dan geen eens validatie aan de backend van deze data.... Voelt als een veredeld stage project

Verwijderd @ultimasnake • 30 maart 2016 13:30

Behalve dat je eerst aan een Steamworks-account moet komen welke toegang heeft tot deze kwetsbaarheden.

ultimasnake @Verwijderd • 30 maart 2016 15:01

https://partner.steamgames.com/

Looking for SDK Access? Sign in above with your Steam account, then agree to the Steamworks SDK Access Agreement for preliminary access to SDK and Documentation.

Mogelijk kans dat je met je gratis steam account al in de goede richting komt voor het eventueel misbruiken? wie weet

Chilly_Willy 30 maart 2016 15:53

Rule number one, never trust information from the client!

Altijd server-side sessions gebruiken voor dit soort informatie.

Verwijderd @Chilly_Willy • 30 maart 2016 16:13

inderdaad, erg slordig dat een bedrijf als valve hier de mist mee ingaat

chaoscontrol 30 maart 2016 12:01

Jammer dat Valve hier weer zo slecht mee omgaat. Helaas is het ook echt geen bedrijf voor de consument. Dit soort zaken en de kwaliteit van hun support afdeling getuigen daarvan.

Ircghost 30 maart 2016 12:03

Blijkbaar hebben zelfs beveiligingsonderzoekers last van de beruchte langzame Steam support

. Mooi geintje, ook leuk dat hij "watch paint dry' gebruikt, gezien dat laatst in The UK ook was gebruikt als politiek statement tegen de Britse dienst die alle films van een kijkwijzer voorziet.

mark-k 30 maart 2016 12:09

Ik heb zelfs een melding van dit spel gezien in die popup met een tiental spellen die net te koop/ in de aanbieding zijn, ik dacht toen nog "wtf, waarom zou iemand hiervoor betalen?"

NESFreak 30 maart 2016 12:13

De community hub is trouwens nog wel online (waaronder een aantal guides/walkthroughs)

http://steamcommunity.com/app/445730

[Reactie gewijzigd door NESFreak op 30 juli 2024 07:16]

fommes @NESFreak • 30 maart 2016 14:18

Die reviews zijn echt geweldig

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (53)

Sorteer op:

Weergave: