Steam將強制執行短信驗證以遏制肆虐的惡意更新
為應對最近爆發的惡意更新,著名游戲平臺Steam出品方Valve近日發布公告稱,將為Steam 上發布游戲的開發者實施額外的安全措施,包括基于短信的確認碼。
游戲及軟件開發商在 Steam 平臺上分發其產品需要用到Steamworks,它支持DRM(數字版權管理)、多人游戲、視頻流、配對、成就系統、游戲內語音和聊天、微交易、統計、云保存和社區制作內容共享(Steam Workshop)。但從今年8月下旬開始,有關 Steamworks 帳戶遭到入侵以及攻擊者上傳惡意版本、利用惡意軟件感染玩家的報告數量不斷增加。
為了遏制該問題,Valve 將從 2023 年 10 月 24 日開始強制實施基于短信的安全檢查,游戲開發人員必須通過該檢查才能在默認發行分支(非測試版本)上推送更新。
對于將新用戶添加到 Steamworks 合作伙伴組(該組已受到基于電子郵件的確認保護)時,將強制執行相同的要求。從 10 月 24 日開始,群組管理員必須使用短信代碼驗證操作。對于那些使用 SetAppBuildLive API 的用戶,Steam 已將其更新為需要 steamID 進行確認,特別是對于已發布應用程序默認分支的更改。
Valve 表示,如果開發者沒有電話號碼,將無法新發布或者更新應用。
并不完美的解決方案
雖然引入基于短信的驗證是為Steam實現了更好的供應鏈安全,但該系統仍存在一些問題。游戲開發者伯努瓦·弗雷斯隆 (Beno?t Freslon)稱,他的賬戶感染了一種信息竊取惡意軟件,該惡意軟件被用來竊取他的憑證,發布了《NanoWar:細胞 VS 病毒》游戲的惡意更新,而Valve 基于短信的雙重驗證安全措施無助于阻止攻擊,因為信息竊取惡意軟件搶走了他賬戶的所有權限。
此外,基于短信的雙重驗證本質上容易受到 SIM 交換攻擊,攻擊者可以將游戲開發者的號碼轉移到新的 SIM 上并繞過安全措施。
