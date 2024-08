Un grave bug nella popolare piattaforma di gaming Steam potrebbe essere stato sfruttato a lungo dagli hacker per prendere controllo dei computer delle vittime.

La vulnerabilità sarebbe stata presente e sfruttabile su Steam da almeno 10 anni, stando a Tom Court, un ricercatore in sicurezza alla Contextis che ha segnalato il problema mercoledì scorso. Court ha detto che il bug ha lasciato tutti i 125 milioni di utenti di Steam vulnerabili fino a marzo di quest’anno, quando Valve, proprietaria di Steam, l’ha sistemato con una patch.

“Questo bug potrebbe essere stato utilizzato come leva per un exploit altamente affidabile,” ha scritto Court. “Si trattava di un bug molto semplice, fatto in modo relativamente diretto per essere sfruttato perché manca delle protezioni moderne.”

In altre parole, sfruttando questo bug, gli hacker potrebbero aver eseguito pezzi di codice sulle macchine delle loro vittime, prendendone a tutti gli effetti il controllo.

Un portavoce di Valve non ha risposto immediatamente alla nostra richiesta di commento. Ma l’azienda ha ringraziato pubblicamente Court nella nota pubblicata insieme all’aggiornamento client di Steam del 4 aprile 2018.

Valve ha reso più difficile approfittare di questa vulnerabilità a luglio dell’anno scorso, quando l’azienda ha implementato un feature di sicurezza nota come ASLR al desktop client di Steam. Prima di allora, però, per un hacker era sufficiente riuscire ad osservare le connessioni tra il client di Steam e il server per inviare pacchetti maligni e sfruttare la vulnerabilità. Per cui, in pratica, non era banale colpire utenti individuali.

Court ha detto che la morale della storia è che gli sviluppatori devono revisionare costantemente i pezzi di codice vecchi e accertarsi che siano conformi agli “standard di di sicurezza moderni.”

“Il fatto che sia esistito un bug così semplice ma dalle conseguenze tanto serie in una piattaforma software così popolare per tutti questi anni suona assurdo nel 2018 e dovrebbe servire da esempio d’incoraggiamento a tutti i ricercatori che si occupano di vulnerabilità per scoprire e segnalare tutti i problemi di questo tipo!” ha scritto Court.

Court ha anche pubblicato un video proof-of-concept su YouTube, in cui lancia la app calcolatrice (un trucco comune per una demo di hacking) sul sistema della sua vittima, sfruttando il bug in questione.

