Marvel Rivals ha superado un par de dificultades desde que se lanzó a fines del año pasado. Esto implicó principalmente mejorar el rendimiento o resolver Problemas técnicos con el entorno frágil. or Habilidades de héroe individuales, pero ahora parece que su seguridad será el próximo obstáculo que los desarrolladores deberán superar.
Un YouTuber que se hace llamar Shalzuth reveló que encontró una vulnerabilidad en Marvel Rivals que los hackers pueden usar como puerta de entrada para tomar el control de su PC. video Shalzuth explica el problema sin dar detalles técnicos que puedan ser utilizados para perjudicar a otros jugadores. “No se trata de alarmismo”, afirma Shalzuth. “Se trata de entender cómo funciona esta clase de vulnerabilidad y por qué es tan importante que los desarrolladores de juegos diseñen parches y actualizaciones de forma segura”.
Todo empezó cuando Shalzuth estaba jugando a Marvel Rivals y “notó algo extraño en la forma en que el juego actualiza la tienda de cosméticos”, porque lo hace sin un parche o actualización del cliente. “Así que investigué un poco más y me di cuenta de que hay una falla en el funcionamiento de este sistema de parches”, dice Shalzuth. “Originalmente, estaba diseñado para que los desarrolladores del juego pudieran ejecutar código para actualizar partes del juego en tu dispositivo, pero hay una falla que alguien puede usar para ejecutar código en tu dispositivo. Esto es lo que la industria de la seguridad llama ejecución remota de código (RCE)”.
Los piratas informáticos utilizan vulnerabilidades de RCE para ejecutar código arbitrario en un dispositivo remoto, que luego pueden utilizar para obtener control total y no autorizado sobre dispositivos como PC y portátiles. Estos ataques pueden utilizarse para instalar malware que roba datos, extraer datos importantes como contraseñas, interrumpir aplicaciones o instalar ransomware. Todo esto se puede hacer sin el conocimiento del propietario.
"Para demostrar lo grave que puede ser esto, creé un entorno de prueba", dice Shalzuth. "Esta configuración incluye dos dispositivos que tengo: mi computadora de escritorio para juegos y mi computadora portátil de viaje. Ambos están conectados a la misma red. Estoy grabando este video y ejecutando el exploit desde mi computadora de escritorio, y me estoy conectando de forma remota a mi computadora portátil para incluirlo en el video".
En la demostración de cómo funcionaba la herramienta RCE, Shalzuth cargó Marvel Rivals, pero se produjo un problema antes de que se compilaran los sombreadores. "Esto también es muy gracioso", dice Shalzuth. "El juego en sí también requiere privilegios de administrador para su sistema antitrampas, por lo que el juego tiene privilegios completos, lo cual es genial. Así que voy a aprobarlo y ceder mi computadora al juego". No es un gran comienzo.
Después de esto, cuando el juego se estaba iniciando, Shalzuth ejecutó la herramienta de explotación, que comenzó a buscar paquetes con privilegios de administrador. Tan pronto como Shalzuth presionó iniciar, la herramienta de explotación encontró claves de descifrado, que se usaron para inyectar un script de Python que luego activaría la explotación RCE, lo que le dio al escritorio control total sobre el portátil: "En este punto, mi portátil está en manos de alguien, está enviando todas mis contraseñas a algún usuario malicioso". Todo esto es posible simplemente porque el juego aparentemente no verifica si está conectado al servidor de juego real, por lo que se puede engañar fácilmente.
Es muy difícil para los investigadores de seguridad informar errores a la mayoría de las empresas de desarrollo de juegos.
Shalzuth
Afortunadamente, este exploit tiene sus limitaciones por ahora. Un hacker tendría que estar conectado a la misma red Wi-Fi que tú para poder ver los paquetes de tu red. Por lo tanto, corres un mayor peligro si inicias Marvel Rivals mientras estás sentado en una cafetería, estás en el campus de una universidad o tienes una contraseña Wi-Fi sencilla que alguien de tu zona podría averiguar fácilmente. En teoría, los empleados de los proveedores de servicios de Internet que tienen acceso a los paquetes que pasan por tu red también podrían hacer uso de este exploit. Pero el hecho de que las probabilidades de que los jugadores se vean afectados por este exploit sean bajas no lo hace menos desconcertante.
Shalzuth continúa discutiendo en un entrada del blog Lo frustrante que es encontrarse constantemente con protecciones de seguridad deficientes en juegos importantes. “El año pasado, encontré al menos cinco errores críticos en juegos MUY POPULARES que pueden tener un impacto negativo en toda la base de jugadores. Tres de ellos todavía existen porque el desarrollador del juego no está disponible o simplemente no le importa.
“Es muy difícil para los investigadores de seguridad informar de errores a la mayoría de las empresas de desarrollo de juegos. Además, la mayoría no tienen programas de recompensas por errores. Es una vergüenza enorme y alienta a las personas que investigan la seguridad de los videojuegos a no informar de las vulnerabilidades y solo a crear hacks y bots porque ahí es donde está el dinero. Gracias a los desarrolladores de juegos que tienen programas de recompensas por errores que han tenido éxito”.
No está claro si NetEase se toma en serio esta afirmación. Si bien los comentaristas afirman que han planteado este problema a los desarrolladores, no hay evidencia concreta de que los desarrolladores estén al tanto de este problema todavía. Me comuniqué con NetEase para obtener un comentario y, si bien aún no recibí ninguna respuesta, actualizaré este artículo cuando la reciba.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.pcgamer.com/games/third-person-shooter/a-marvel-rivals-player-has-uncovered-one-of-the-most-dangerous-vulnerabilities-a-game-can-have-thatll-let-cheaters-take-over-your-pc-and-find-your-passwords/
