严重的Valve漏洞让游戏玩家可以向Steam钱包添加无限资金

Valve在其Steam平台上发现了一个API漏洞，即滥用Smart2Pay系统向玩家的数字钱包中添加无限资金。

一名安全研究员帮助游戏平台Steam的开发商Valve填补了一个容易被利用的漏洞，该漏洞允许用户向他们的数字钱包中添加无限的资金。只要改变账户的电子邮件地址，这个漏洞就可以让任何人人为地把他们的数字钱包变成他们想要的情况。

Steam Wallet资金仅用于Steam平台，用于购买游戏内商品、订阅和Steam相关内容。Valve限制Steam积分(或货币)在其网络之外进行购买或交易。然而，有几种未经批准的方法可以将钱包里的资金转换成实际的美元。

黑客：将1美元变成100美元或100万美元

这一漏洞被滥用了Valve自己的应用程序编程接口(API)，该接口用于与Nuvei旗下的第三方网络支付公司Smart2Pay通信。

据研究人员称，黑客允许攻击者拦截从Valve发送到Smart2Pay的POST请求。这是通过修改Steam用户的电子邮件地址来实现的。

“首先，您必须将Steam帐户电子邮件更改为类似(我将在接下来的步骤中解释为什么金额 100 是重要部分)：brixamount100abc@█████，”研究人员写道。

这允许攻击者操纵Valve和Smart2Pay之间的通信，从而绕过用于保护交易数据的加密哈希。

“我们无法更改参数，因为有带有签名的哈希字段，但是签名是像哈希(ALL_FIELDS_NAMES_VALUES_CONTACTED)一样生成的，”研究人员写道。“我们可以以某种方式改变参数，从而改变我们的数量。”

Valve的参数可能是，攻击者可以简单地通过改变电子邮件请求的格式将$1变成$100。

“hash(MerchantID1102MerchantTransactionID█████Amount2000.....)”攻击者只需更改电子邮件请求的格式即可将1美元变成100美元。

“因此，通过我们的特殊电子邮件，我们可以通过改变数量的方式移动参数。比如我们可以把原来的Amount=2000改成Amount2=000，联系之后还是Amount2000。然后我们可以将电子邮件从CustomerEmail=brixamount100abc%40████ 更改为 CustomerEmail=brix&amount=100&ab=c%40█████████，这样我们就可以用我们的值添加新的字段金额。”

Valve首先将这个漏洞评为中等重要性。但经过调查后将该漏洞升级为本质上的严重漏洞，将其评分为“9-10”，最高评分为10。

尽管此漏洞并未由黑客利用及攻击网络，但在一定程度上也为企业带来严重经济损失。潜伏在系统中的安全漏洞可以成为企业一个“不定时炸弹”，一旦在网络攻击中被黑客利用，为企业带来的影响及损失是不可计数的。数据显示，黑客在发动网络攻击时，最常用的前三名中，就包括软件安全漏洞。而漏洞在软件开发期间是可以检测并修正的。数据显示，超过6成的安全漏洞均与代码有关，而静态代码检测可以有效减少30%-70%的安全漏洞。建议企业重视网络安全问题，在软件开发及验收阶段，强化漏洞评估与修复、恶意代码检测等管理要求。

参读链接：

https://threatpost.com/valve-bug-unlimited-funds/168710/