全球領(lǐng)先網(wǎng)絡(luò)安全解決方案提供商 Check Point® 軟件科技有限公司(納斯達(dá)克：CHKP)的研究人員近日公布了《堡壘之夜》漏洞詳情?！侗局埂肥且豢罘浅Ｊ軞g迎的在線戰(zhàn)斗游戲，這款游戲的所有玩家都可能會(huì)成為該漏洞的受害者。

《堡壘之夜》在全球擁有近 8000 萬(wàn)玩家，受到所有游戲平臺(tái)玩家的熱捧，包括 Android、iOS、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等游戲機(jī)。除了業(yè)余玩家外，《堡壘之夜》也是職業(yè)玩家進(jìn)行在線游戲直播的寵兒，而且也深受電競(jìng)愛(ài)好者的歡迎。

[[256535]]

漏洞一旦遭到利用，攻擊者便能夠完全獲取用戶帳號(hào)和個(gè)人信息，以及使用受害者的支付卡購(gòu)買虛擬游戲貨幣。此外，攻擊者還可大肆侵犯隱私，例如偷聽(tīng)游戲聊天以及受害者家中或其他游戲場(chǎng)所周圍的聲音和對(duì)話。盡管《堡壘之夜》玩家此前曾遭遇欺騙攻擊，即引誘他們登錄承諾生成《堡壘之夜》“V-Buck”游戲貨幣的虛假網(wǎng)站，但這些新漏洞無(wú)需玩家提供任何登錄細(xì)節(jié)便能夠被黑客利用。

研究人員概述了攻擊者如何通過(guò)在《堡壘之夜》用戶登錄過(guò)程中發(fā)現(xiàn)的漏洞來(lái)獲取用戶帳號(hào)。研究人員在 Epic Games 的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中發(fā)現(xiàn)了三個(gè)漏洞缺陷，得以探悉攻擊者如何同時(shí)利用基于令牌的身份驗(yàn)證流程和單點(diǎn)登錄 (SSO) 系統(tǒng)(如Xbox)盜取用戶訪問(wèn)憑證和帳號(hào)。

玩家只要點(diǎn)擊來(lái)自 Epic Games 域名、經(jīng)過(guò)精心設(shè)計(jì)的網(wǎng)絡(luò)釣魚(yú)鏈接便會(huì)受到攻擊，雖然鏈接看起來(lái)很正常，但卻是攻擊者發(fā)送的。點(diǎn)擊該鏈接后，用戶即便沒(méi)有輸入任何登錄憑證，攻擊者也可輕松捕獲其《堡壘之夜》的身份驗(yàn)證令牌。Check Point 研究人員稱，Epic Games 兩個(gè)子域名中的缺陷產(chǎn)生的潛在漏洞極易遭到惡意重定向，從而導(dǎo)致用戶的合法身份驗(yàn)證令牌被黑客通過(guò)受到攻擊的子域名攔截。

Check Point中國(guó)區(qū)總經(jīng)理陳欣表示：“《堡壘之夜》是在線玩家中最流行的游戲之一。這些缺陷為攻擊者大肆侵犯隱私提供了可乘之機(jī)。我們近日還在主流無(wú)人機(jī)制造商所用的平臺(tái)中發(fā)現(xiàn)了漏洞，這些缺陷和漏洞說(shuō)明云應(yīng)用極易遭受攻擊和破壞。這些平臺(tái)擁有大量的敏感客戶數(shù)據(jù)，因此，為越來(lái)越多的黑客所窺伺。實(shí)施雙重因素身份驗(yàn)證能夠幫助緩解這種賬戶竊取漏洞。”

Check Point 已經(jīng)向 Epic Games 通知了該漏洞(現(xiàn)已修復(fù))的存在。Check Point 和 Epic Games 建議所有用戶在交換數(shù)字信息時(shí)保持警惕，并且在與他人進(jìn)行線上互動(dòng)時(shí)養(yǎng)成安全的網(wǎng)絡(luò)習(xí)慣。 對(duì)于在用戶論壇和網(wǎng)站上看到的信息鏈接，用戶應(yīng)當(dāng)對(duì)其合法性保持懷疑的態(tài)度。

企業(yè)必須對(duì)其 IT 基礎(chǔ)設(shè)施進(jìn)行全面和定期的安全檢查，確保過(guò)期和不用的網(wǎng)站或訪問(wèn)點(diǎn)已經(jīng)下線。此外，對(duì)已經(jīng)不使用但仍然在線的過(guò)期網(wǎng)站或子域名進(jìn)行審查也是可取的做法。

為了最大限度地降低此類漏洞帶來(lái)的威脅，用戶應(yīng)當(dāng)啟用雙重因素身份驗(yàn)證，確保在新設(shè)備上登錄賬戶時(shí)，需要輸入發(fā)送到賬戶持有人電子郵箱中的驗(yàn)證碼。同樣重要的是，家長(zhǎng)讓孩子們意識(shí)到網(wǎng)絡(luò)欺詐的威脅，并警告他們網(wǎng)絡(luò)犯罪分子將會(huì)不擇手段地獲取玩家在線賬戶中的個(gè)人和財(cái)務(wù)信息。