Fortnite Залишили гравців для відкриття облікового запису, підслуховування голосового чату

Fortnite Залишили гравців для відкриття облікового запису, підслуховування голосового чату

Тепер, коли це найпопулярніша гра в світі, Fortnite стала мішенню як для судових позовів, так і для хакерів. Безпека фірми Check Point Software каже, що розробник Epnite Games від Fortnite мав серйозну вразливість у своїй системі, що дозволило б зловмисникам грати як жертву, купувати предмети і навіть слухати мікрофон гравця.

Уразливість, яку Epic Games підтверджує як фіксовану, є частиною її веб-сайту, а не самого клієнта гри. Як і багато інших хакі, він починається з отримання цільової посилання на зловмисне посилання. Однак на сайті зловмисника не потрібно вносити будь-які шкідливі програми в систему. Все, що потрібно зробити, це скопіювати маркер входу в систему Fortnite.

Коли ви ввійшли в онлайн-службу, ваш комп'ютер, швидше за все, має маркер, який повідомляє сторінку, на якій ви ввійшли. Однак сторінки облікового запису Epic не перевірені. Це означає, що доступ до неї може отримати сторонній сайт, подібний сайту, розробленому Check Point Software. Check Point використовував трохи користувацького коду JavaScript, щоб захопити знак будь-яких гравців Fortnite, які потрапили на сторінку. Ви можете побачити хак у дії нижче.

За допомогою маркера входу в систему можна просто запустити Fortnite з профілем жертви. Сервер бачить комп'ютер хакера як той самий сеанс, який був відкритий, коли жертва натиснула на зловмисне посилання. Хакер по суті це ви на Fortnite, що дає їм великий контроль.

Маючи доступ до облікового запису Fortnite, зловмисник може витрачати щедро на віртуальну валюту, щоб злити ваш банківський рахунок. Вони також можуть грати в гру, як ви, але це може викликати лише вас, якщо вони будуть особливо поганими в грі або погано, щоб отримати заборону. Оскільки Fortnite вважає, що зловмисник - це ви, вони також матимуть доступ до вашого вмісту голосового чату. Це включає можливість слухати розмови, які ви маєте через мікрофон.

Це не перший раз, коли Епік мав незручний проміжок безпеки. Невдовзі після того, як він випустив свій Android-модуль за межами Play Store, Google відзначила, що додаток для встановлення Fortnite можна обдурити завантаженням шкідливих програм замість гри. Розробник зафіксував отвір, що дозволило витягти маркер входу. Він також вказує на те, що всі геймери повинні мати двофакторну аутентифікацію для своїх облікових записів.