Hver gang jeg udgiver en ny artikel om Electronic Arts, dør en del af mig lidt. Denne uge (mere som denne time) handler det om EA's direkte download klient, Origin, og massiv sårbarhed, der sætter over 40 millioner brugere i fare for tredjeparts udnyttelse.
Deltagere i en Black Hat-begivenhed i fredags i Amsterdam anerkendte og demonstrerede udnyttelsen ved at installere skadelig software på sårbare computere. "Oprindelsesplatformen gør det muligt for ondsindede brugere at udnytte lokale sårbarheder eller funktioner ved at misbruge den originale URI-håndteringsmekanisme," reVuln-forskere Donato Ferrante og Luigi Auriemma detaljerede under arrangementet. I lægmandens vilkår åbner en bruger adgang til en URI i spillet, og Origin's overlay er lurt til at behandle det som et venligt installationslink. Desværre, i stedet for at downloade Slagmark 3, du er tilbage med Slagmark: Dræb din GPU.
Ved at ændre variablerne i de underliggende URI-links, kan kommandoerne til at starte et spil erstattes med instruktioner, der gør det muligt for en computer at installere et ondsindet program i stedet. Teknikken virker mod mennesker, der har installeret Crysis 3 og en række andre spil. Andre teknikker arbejder mod maskiner med forskellige titler installeret.
Udnyttelsen er usædvanlig ligner en, der ramte dampen sent i sidste år. Så vidt jeg kan fortælle, har Steam endnu ikke patch dette problem i deres arkitektur. Dette viser enten: udnyttelsen er også kompliceret til at rette op (tvivlsomt) eller at sikkerhedsrisikoen er en nødvendig gamble, og begge virksomheder anser fordelene ved URI-systemet til at opveje bekymringerne (undtagelsesvis mere sandsynlige, hvis ikke lidt skuffende ).
Dårlig EA er i stigende grad genstand for medieopmærksomhed i det seneste, og lagerrapporter indikerer et langsomt synkende venture. Jeg siger ikke, at du skal forlade skibet - jeg siger ikke engang, at EA ikke kan komme i gang fra 1. kvartal 2013 - men jeg er at sige, at der er absolut plads til et andet gratis spil i mit Origin-bibliotek, EA.
Bare for sjov. For det meste.