Steam将强制执行短信验证以遏制肆虐的恶意更新
source link: https://www.51cto.com/article/769935.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
Steam将强制执行短信验证以遏制肆虐的恶意更新
为应对最近爆发的恶意更新,著名游戏平台Steam出品方Valve近日发布公告称,将为Steam 上发布游戏的开发者实施额外的安全措施,包括基于短信的确认码。
游戏及软件开发商在 Steam 平台上分发其产品需要用到Steamworks,它支持DRM(数字版权管理)、多人游戏、视频流、配对、成就系统、游戏内语音和聊天、微交易、统计、云保存和社区制作内容共享(Steam Workshop)。但从今年8月下旬开始,有关 Steamworks 帐户遭到入侵以及攻击者上传恶意版本、利用恶意软件感染玩家的报告数量不断增加。
为了遏制该问题,Valve 将从 2023 年 10 月 24 日开始强制实施基于短信的安全检查,游戏开发人员必须通过该检查才能在默认发行分支(非测试版本)上推送更新。
对于将新用户添加到 Steamworks 合作伙伴组(该组已受到基于电子邮件的确认保护)时,将强制执行相同的要求。从 10 月 24 日开始,群组管理员必须使用短信代码验证操作。对于那些使用 SetAppBuildLive API 的用户,Steam 已将其更新为需要 steamID 进行确认,特别是对于已发布应用程序默认分支的更改。
Valve 表示,如果开发者没有电话号码,将无法新发布或者更新应用。
并不完美的解决方案
虽然引入基于短信的验证是为Steam实现了更好的供应链安全,但该系统仍存在一些问题。游戏开发者伯努瓦·弗雷斯隆 (Benoît Freslon)称,他的账户感染了一种信息窃取恶意软件,该恶意软件被用来窃取他的凭证,发布了《NanoWar:细胞 VS 病毒》游戏的恶意更新,而Valve 基于短信的双重验证安全措施无助于阻止攻击,因为信息窃取恶意软件抢走了他账户的所有权限。
此外,基于短信的双重验证本质上容易受到 SIM 交换攻击,攻击者可以将游戏开发者的号码转移到新的 SIM 上并绕过安全措施。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK