全球領先網絡安全解決方案提供商 Check Point® 軟件科技有限公司(納斯達克：CHKP)的研究人員近日公布了《堡壘之夜》漏洞詳情?！侗局埂肥且豢罘浅Ｊ軞g迎的在線戰(zhàn)斗游戲，這款游戲的所有玩家都可能會成為該漏洞的受害者。

《堡壘之夜》在全球擁有近 8000 萬玩家，受到所有游戲平臺玩家的熱捧，包括 Android、iOS、Microsoft Windows 電腦以及 Xbox One 和 PlayStation 4 等游戲機。除了業(yè)余玩家外，《堡壘之夜》也是職業(yè)玩家進行在線游戲直播的寵兒，而且也深受電競愛好者的歡迎。

[[256535]]

漏洞一旦遭到利用，攻擊者便能夠完全獲取用戶帳號和個人信息，以及使用受害者的支付卡購買虛擬游戲貨幣。此外，攻擊者還可大肆侵犯隱私，例如偷聽游戲聊天以及受害者家中或其他游戲場所周圍的聲音和對話。盡管《堡壘之夜》玩家此前曾遭遇欺騙攻擊，即引誘他們登錄承諾生成《堡壘之夜》“V-Buck”游戲貨幣的虛假網站，但這些新漏洞無需玩家提供任何登錄細節(jié)便能夠被黑客利用。

研究人員概述了攻擊者如何通過在《堡壘之夜》用戶登錄過程中發(fā)現(xiàn)的漏洞來獲取用戶帳號。研究人員在 Epic Games 的網絡基礎設施中發(fā)現(xiàn)了三個漏洞缺陷，得以探悉攻擊者如何同時利用基于令牌的身份驗證流程和單點登錄 (SSO) 系統(tǒng)(如Xbox)盜取用戶訪問憑證和帳號。

玩家只要點擊來自 Epic Games 域名、經過精心設計的網絡釣魚鏈接便會受到攻擊，雖然鏈接看起來很正常，但卻是攻擊者發(fā)送的。點擊該鏈接后，用戶即便沒有輸入任何登錄憑證，攻擊者也可輕松捕獲其《堡壘之夜》的身份驗證令牌。Check Point 研究人員稱，Epic Games 兩個子域名中的缺陷產生的潛在漏洞極易遭到惡意重定向，從而導致用戶的合法身份驗證令牌被黑客通過受到攻擊的子域名攔截。

Check Point中國區(qū)總經理陳欣表示：“《堡壘之夜》是在線玩家中最流行的游戲之一。這些缺陷為攻擊者大肆侵犯隱私提供了可乘之機。我們近日還在主流無人機制造商所用的平臺中發(fā)現(xiàn)了漏洞，這些缺陷和漏洞說明云應用極易遭受攻擊和破壞。這些平臺擁有大量的敏感客戶數(shù)據(jù)，因此，為越來越多的黑客所窺伺。實施雙重因素身份驗證能夠幫助緩解這種賬戶竊取漏洞。”

Check Point 已經向 Epic Games 通知了該漏洞(現(xiàn)已修復)的存在。Check Point 和 Epic Games 建議所有用戶在交換數(shù)字信息時保持警惕，并且在與他人進行線上互動時養(yǎng)成安全的網絡習慣。 對于在用戶論壇和網站上看到的信息鏈接，用戶應當對其合法性保持懷疑的態(tài)度。

企業(yè)必須對其 IT 基礎設施進行全面和定期的安全檢查，確保過期和不用的網站或訪問點已經下線。此外，對已經不使用但仍然在線的過期網站或子域名進行審查也是可取的做法。

為了最大限度地降低此類漏洞帶來的威脅，用戶應當啟用雙重因素身份驗證，確保在新設備上登錄賬戶時，需要輸入發(fā)送到賬戶持有人電子郵箱中的驗證碼。同樣重要的是，家長讓孩子們意識到網絡欺詐的威脅，并警告他們網絡犯罪分子將會不擇手段地獲取玩家在線賬戶中的個人和財務信息。