Mögliche Angriffe nutzen das Einladungssystem von Valves Steam-Client aus, das üblicherweise verwendet wird, um Freunde zu Mehrspielerpartien hinzuzufügen: Hacker können Schadcode auf dem Rechner ihres Opfers installieren, wenn diese auf den Link klicken. Für die Betroffenen sieht die vermeintliche Einladung zum Onlinespielen dabei ganz gewöhnlich aus. Das Vorgehen hat der Sicherheitsexperte, der sich auf Twitter "Florian" nennt, dem Technikmagazin Motherboard vorgeführt. Hacker können demnach von einem infizierten Rechner aus weitere manipulierte Einladungslinks an andere Accounts verschicken.
Den Exploit hatte "Florian" bereits 2019 bei Valve gemeldet. Weil er die Source-Engine betrifft, habe er damals bei vielen Spielen funktioniert. In der Zwischenzeit wurde er in mehreren Titeln gefixt, berichtet Motherboard. Ausgerechnet beim überaus beliebten Online-Shooter "Counter-Strike: GO" funktioniert er allerdings noch.
Valve reagiert träge
Eigenen Angaben zufolge hat sich "Florian" zur Veröffentlichung des Exploits entschlossen, um Valve zu einer Lösung zu drängen. Er habe sich entschieden, keine technischen Details zu nennen, um Spielerinnen und Spieler nicht zu gefährden. Valve habe ihm zwar eine Belohnung für das Aufspüren der Sicherheitslücke gezahlt, seine Nachfragen zum Fortschritt der Fehlerlösung allerdings nicht abschließend beantwortet. "Valve hat mich die meiste Zeit ignoriert", sagte "Florian" dem Magazin Motherboard.
Die Source-Engine ist eine Eigenentwicklung von Steam-Betreiber Valve, die bei zahlreichen Titeln von "Half-Life" über "Portal" bis hin zu "Dota" zum Einsatz kommt. Auch unabhängige Entwicklerstudios können die Source-Engine verwenden. Die Natur der Sicherheitslücke bedeutet, dass sie ausschließlich bei online spielbaren Titeln ausgenutzt werden kann. "Counter-Strike: GO" ist zwar mittlerweile fast neun Jahre alt, gehört aber weiterhin zu den meistgespielten Mulitplayer-Games auf Steam. Valve hat sich bisher nicht öffentlich zur Sicherheitslücke geäußert.
Quelle: heise Online Redaktion
