Un gruppo di ricercatori ha scoperto che il protocollo URL di Steam può essere sfruttato per compiere attacchi ai danni dei giocatori. Il problema risiede nel modo in cui i browser e altre applicazioni gestiscono gli indirizzi "steam://", usati dal software di Valve per eseguire diverse operazioni.
Quando un utente installa il client di Steam sul proprio PC, quest'ultimo viene impostato automaticamente come il software che gestirà i protocolli URL "steam://". In questo modo ogni volta che si clicca su uno di questi collegamenti l'indirizzo è gestito direttamente dal programma di Valve.
Purtroppo però Steam usa un sistema di URL che contiene varie tipologie di comandi, usati per installare o disinstallare giochi, per effettuare aggiornamenti, per avviare titoli con determinati parametri, per effettuare il backup di file o di eseguire altre azioni.
I ricercatori di ReVuln, un'azienda specializzata nella scoperta di vulnerabilità informatiche, hanno evidenziato che i malintenzionati possono usare questi comandi per sfruttare vulnerabilità nel client del noto negozio online o nei giochi installati. Basta un click su un URL confezionato ad arte e il gioco è fatto.
###old1822###old
"L'inconveniente principale è che alcuni browser e applicazioni passano automaticamente gli url steam:// al client di Steam senza chiedere conferma agli utenti", spiegano i tecnici dell'azienda. Alcuni browser invece chiedono la conferma, ma non visualizzano l'indirizzo completo o non avvisano i pericoli dell'esecuzione di determinati URL.
Secondo i test eseguiti dai ricercatori di ReVuln Internet Explorer 9, Google Chrome e Opera visualizzano avvertimenti e l'indirizzo completo o parziale dell'URL steam:// prima di passare al client per l'esecuzione del comando. Anche Firefox chiede la conferma dell'utente ma non permette di visualizzare l'URL e non fornisce avvertimenti di alcuna natura. Ancora peggio Safari, che esegue automaticamente gli URL senza nemmeno chiedere conferme.
"Tutti i browser che aprono i gestori di URL esterni senza avvertimenti e quelli basati sul motore di Mozilla (come Firefox e SeaMonkey) sono vettori perfetti per eseguire questi comandi. Inoltre sui browser come Internet Explorer e Opera è possibile nascondere la parte sospetta dell'URL in modo da non farla visualizzare nel messaggio di avvertimento, semplicemente aggiungendo diversi spazi nell'URL steam://", spiegano i ricercatori.
Il problema acquista una portata ancora più ampia se si pensa che i malintenzionati potrebbero usare il codice JavaScript caricato su pagine realizzate appositamente per reindirizzare gli utenti a determinati URL, senza nemmeno la necessità di cliccare su link sospetti.
In uno degli esempi mostrati dai ricercatori, fra i quali troviamo Donato Ferrante e Luigi Auriemma (già citato sulle nostre pagine per altri bug e vulnerabilità), si usa un indirizzo steam:// per eseguire comandi legittimi nel Source engine di Valve, in modo da creare un file .bat con contenuti nocivi all'interno della cartella Windows Startup, insieme agli altri file eseguiti automaticamente all'avvio del sistema.
"La nostra opinione è che Valve dovrebbe rimuovere il passaggio dei parametri dalle linee di comando ai giochi perché è troppo pericoloso e non si può controllare il modo in cui i software di terze parti si possono comportare con parametri irregolari", spiega Auriemma. Per ora Valve non ha ancora commentato la scoperta dei ricercatori.