PUBG Neko Natum
8 227

В главном меню Battlegrounds нашли уязвимость перед хакерской атакой

Информация передаётся по незащищённому HTTP-каналу.

В закладки

Работник технологической фирмы Palantir Technologies Филип Суфичи (Filip Sufitchi) опубликовал исследование шутера Battlegrounds, в ходе которого выяснил, что главное меню уязвимо перед хакерской атакой.

Меню игры представляет собой веб-страницу, передаваемую по незащищённому HTTP-каналу. Чтобы использовать эту «дыру», на компьютере клиента уже должна быть установлена вредоносная программа. Также взломать систему можно через MITM-атаку.

Стрелками отмечены элементы, реализованные как веб-страница

Во втором случае в зоне риска находятся те, кто играет через Wi-Fi соединение вне зависимости от его защищённости, так как шифрование WPA2 тоже уязвимо. Таким образом можно подменить страницу и отправить пользователю, например, ложную форму ввода логина и пароля.

Пример подменённой страницы

Впервые об уязвимости сообщили фанаты игры полгода назад. Тем не менее разработчики пока не приняли никаких мер. Автор статьи также опубликовал исходные данные, с помощью которых доказал наличие бреши в защите Battlegrounds. В теории, обезопасить от подмены может VPN, шифрующий трафик.

В данный момент Battlegrounds находится в раннем доступе. Полноценный релиз запланирован на конец 2017 года. К середине октября игру приобрели 15 миллионов человек, а число одновременных пользователей в Steam превысило два миллиона.

#battlegrounds

Материал дополнен редакцией
{ "author_name": "Neko Natum", "author_type": "self", "tags": ["battlegrounds"], "comments": 38, "likes": 35, "favorites": 1, "is_advertisement": false, "subsite_label": "pubg", "id": 11722, "is_wide": false }
{ "id": 11722, "author_id": 2819, "diff_limit": 1000, "urls": {"diff":"\/comments\/11722\/get","add":"\/comments\/11722\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/11722"}, "attach_limit": 2, "max_comment_text_length": 5000 }

38 комментариев 38 комм.

Популярные

По порядку

Написать комментарий...
35

Офис PUBG, 6 месяцев назад:
- У нас дыра в безопасности!
- Ну хоть что-то у нас в безопасности.

Ответить
1

Пожрал от души =)

Ответить
8

Приятного аппетита

Ответить
1

Спасибо! Ждал!

Ответить
–2

Жрал и ждал.

Ответить
19

От себя добавлю, что ладно ещё интерфейс html'ом делать, я видел и более костыльные решения. Но гонять трафик в 2017 не через https - это запредельный уровень наплевательства на пользователя.

Ответить
–8

слушай. я прям все понял, что ты написал)))

Ответить
0

Это протокол шифрования для передачи данных. В начале адреса в строке браузера, например его видно. Есть еще http - более древний.

Ответить
11

говноделы говноигры

Ответить
3

У-ха-ха, заходишь ты такой в пубг, а тебе вместо логотипа показывают "сайт заблокирован Роскомнадзором". Идеально.

Ответить
15

В теории, если словить вирус, добавляющий банеры на страницы, меню пубга может выглядеть вот так.

Ответить
3

Возможно, что версия от Mail.ru именно так и будет выглядеть.
Тельняшки не хватает только.

Ответить
0

В свете последних событий...

Ответить
–5

Лол, делать интерфейс на html в 2к17, серьезно?

Ответить
10

+ Быстро.
+ Дёшево.
+ Обновления интерфейса можно делать на ходу без дополнительных усилий.
- Нужно дополнительно запускать браузер.
- Дополнительная нагрузка на сервер.
- В кривых руках случается то, о чём статья.

Ответить
2

"- Дополнительная нагрузка на сервер."

Какая еще нагрузка? Это же статика, она с 2-3-х кеш-серверов отдаваться может.

Ответить
1

За такие сервера тоже платить надо, в любом случае. Не то, чтобы это было фатально в сравнении со всей остальной инфраструктурой, но как факт.

Ответить
3

На Хабре была статья, где 4-х ядерный Атом(!) справлялся с отдачей статики из кеша в памяти, полностью загружая 100-мегабитный канал. Это было года 4 назад.
А нагрузка на самом деле не так велика, как кажется, даже при 2млн. онлайна. Если принять что раз в 2 минуты (среднее время жизни игрока, т.к. бывает и 50 отваливаются именно за это время), каждый клиент запрашивает страницу, то получится всего 16700(!) запросов в секунду.
Это совсем не много, учитывая то, что данные у нас заранее закешированы в памяти.

Ответить
0

Я даже не знаю, с какой стороны ответить.
1. Если за N рублей дома собирается сервер, который позволяет выполнить задачу - это не значит, что реальное решение будет стоить столько же. Необязательно в сторону дороговизны даже, но не в этом суть.
2. Иметь такой сервер дороже, чем его вообще не иметь - и это единственное утверждение, которое, собственно, изначально было озвучено. Но я согласен с тем, что это будут копейки в рамках проекта в целом.

Ответить
0

Речь про проект в целом.
И да, не имел в виду сервер дома на коленке, я про прекрасные 1U атом-сервера, предоставляемые практически всеми производителями. Это именно та область, где им не надо гоняться с большими процессорами - они тут играют на своем поле.

Ответить
0

Это копейки. С отдачей статики легко справляются сервера, начиненные многоядерными атомами. Т.е. сервера, менее мощные, чем средний настольный компьютер.

Ответить
2

Да в кривых руках безопасность всегда страдать будет.

Ответить
3

На коленке сделано, ясно же. Как прототип накидали а потом и продавать так же начали, даже не тратя время на то чтобы меню накодить из нескольких прозрачных картинок. Сложно представить сколько это потенциальных проблем может вызвать, и с фаерволами и с прочими програмами которые в HTTP трафик лезут, и с антивирусами которые будут фиксировать доступ на сервак с страницей от бинаря игры

Ответить
0

Html5 отлично подходит для интерфейсов. Другой вопрос в руках тех, кто делает.

Ответить
1

Для тех кто в танке, весь интерфейс сделан через html в этой игре, гуглим Coherent UI и смотрим что это библиотека для интерфейсов, и юзают ее много где. А то началось, костыли, реализация, никто не знает как реализованно, но осудить же надо.

Ответить
3

Одно дело сделать интерфейс на html, к этому у меня вообще никаких претензий. Но в данном случае его нужно постоянно запрашивать с сервера, что есть довольно ебанутое решение. Да и вообще, KISS.

Ответить
0

Это, конечно, сетевая инфраструктура уровня CYKA. Вспоминается Division, где ВСЕ ДАННЫЕ в ПК-версии считал клиент, сервер ничего не сверял и потому в игре была нереальная когорта читеров.

При этом пофиксить проблему так и не вышло, стали просто вручную банить читеров.

Ответить
3

Ну pubg вообщем то тоже не проверяет многое, например игроки, у которых не прогружается карта, свободно стреляют в других игроков сквозь здания и урон засчитывается. Клиент сказал попал - значит попал.

Ответить
9

"Клиент всегда прав" (с)

Ответить
0

По такой логике стоит сделать и полностью клиент-сайд хитрег.

Ответить
0

В какой-то степени он клиент-сайд в PUBG.
Более того, если в Вас выстрелит противник, но Ваш клиент скажет серверу раньше, что Вы его убили, то его пули не нанесут Вам вреда (они попросту "исчезнут").

Ответить
1

...и заменят его на Flash?

Ответить
1

Очередной пример того, что ни качество, ни талант, ни идея в некоторых случаях не играют никакой роли... (на вид история ПУБГА больше напоминает выигрыш в лотерею, чем success case)

Ответить

Комментарий удален

3

Тут нет ни единого коммента хейтера.

Ответить

Комментарий удален

0

Я в шоке скорей от того, что кто то ТОЛЬКО СЕЙЧАС это заметил.
Если нажать кнопку Reload UI, игра буквально сама тебе говорит об этом.

Ответить
0

Стоит добавить, что в сентябре PU сказал, что данный интерфейс не финальный и они давно работают над новым.

Ответить
0

Кстати, бета версия до сих пор доступна для скачивания в стиме, но единственное что я смог сделать через консоль, это загрузить персонажа на стартовый экран, хотя вроде ещё какие то консольные команды работают.

Ответить
0

Хуя меня задизлайкали. А че я такого написал? Ору

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fjog" } } }, { "id": 10, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-250597-0", "render_to": "inpage_VI-250597-0-1134314964", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=clmf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudo", "p2": "ftjf" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fzvc" } } } ]
В Steam появилась функция продажи
подержанных цифровых копий игр
Подписаться на push-уведомления