Anzeige
Tech

Gravierende Sicherheitslücke: Hacker konnten 10 Jahre lang Computer von Gamern übernehmen

Millionen Nutzer der beliebten Gaming-Plattform Steam waren einer erheblichen Gefahr ausgesetzt.

von Lorenzo Franceschi-Bicchierai
01 Juni 2018, 9:58am

Bild: shutterstock |  g0d4ather

Hacker hätten einen gravierenden Bug auf der beliebten Videospielplattform Steam ausnutzen können und die Computer ihrer Opfer vollständig übernehmen können. Die Sicherheitslücke bestand mindestens zehn Jahre lang, sagt der Sicherheitsforscher Tom Court, der am Mittwoch über den Bug berichtete. Laut Court waren 125 Millionen Steam-Nutzer bis März dieses Jahres der Gefahr eines Hackingangriffes ausgesetzt, bis der Seitenbetreiber die Lücke schloss.

"Dieser Bug hätte als Grundlage für einen sehr umfangreichen Exploit genutzt werden können", schreibt Court. Über die Sicherheitslücke hätten Hacker Befehle auf dem Computer ihres Opfers ausführen und ihn so ganz übernehmen können.

Die Firma Valve, Betreiber von Steam, hat auf unsere Rückfragen zur Sicherheitslücke bisher nicht reagiert. Allerdings bedankte sich das Unternehmen bereits im April 2018 in einem Update über den Steam-Client bei Court dafür, dass er den Bug gemeldet hatte.

Court hat ein Proof-of-Concept Video auf YouTube veröffentlicht, in dem er mit einem Hacking-Simulator demonstriert, wie der Bug ausgenutzt werden konnte, um den Computer eines Opfers zu übernehmen.

Bereits ab Juli 2017 dürfte es für Hacker allerdings schwieriger geworden sein, den Bug auszunutzen, denn damals führte Steam das neue Sicherheitsfeature ASLR für Steams Desktop-Client ein. Nach diesem Update hätten Hacker, die die Sicherheitslücke ausnutzen, nur noch den Steam-Client zum Absturz bringen können, meint Court. Vor dem Update hätten Angreifer die Verbindungen zwischen dem Steam-Client und dem Server genau beobachten müssen. Bei einem Angriff hätten sie dann alle zu diesem Zeitpunkt aktiven Nutzer über die Schwachstelle mit Schadsoftware bombardieren können.

Für Court macht dieser Bug deutlich, dass Entwickler in die Jahre gekommenen Code ständig überprüfen müssen, um sicherzustellen, dass er modernen Sicherheitsstandards entspricht. "Die Tatsache, dass ein Bug, der so simpel ist und so gravierende Auswirkungen hat, bei einer beliebten Software-Plattform viele Jahre unentdeckt blieb, sollte Sicherheitsforscher motivieren, noch mehr Bugs zu finden und sie zu melden!", schreibt Court.

Folgt Motherboard auf Facebook, Instagram, Snapchat und Twitter