Bug em CS:GO facilita invasão de hackers pelo chat do Steam
Falha no motor gráfico de Counter-Strike: Global Offensive permite que hackers controlem o PC de usuários enquanto jogam
O motor gráfico Valve Source, usado para criar Counter-Strike: Global Offensive (CS:GO), tem um bug que permite a hackers invadirem computadores de usuários por meio de convites no chat do Steam. É o que disse o grupo de pesquisadores em segurança Secret Club ao BleepingComputer, na última segunda-feira (12). Ainda segundo a equipe, a Valve já foi avisada sobre a falha no CS:GO, mas não resolveu o problema.
Ao BleepingComputer, Florian — um dos membros do Secret Club — disse que a Valve foi informada sobre o bug há cerca de dois anos por meio do HackerOne, o canal da desenvolvedora que paga pessoas por descobrirem erros nos jogos. Mesmo assim, Florian afirmou que, em março de 2021, o CS:GO ainda contava com a vulnerabilidade.
No Twitter, a conta oficial do Secret Club publicou um vídeo em que Florian forçava o bug e mostrava a falha na segurança para a Valve. Basicamente, o hacker só precisa enviar um convite de jogo para o usuário que quiser atacar pelo chat do Steam. Assim que a solicitação é aceita, o invasor pode controlar o computador da vítima livremente enquanto o CS:GO estiver aberto.
Two years ago, secret club member @floesen_ reported a remote code execution flaw affecting all source engine games. It can be triggered through a Steam invite. This has yet to be patched, and Valve is preventing us from publicly disclosing it. pic.twitter.com/0FWRvEVuUX
— secret club (@the_secret_club) April 10, 2021
De acordo com Florian, a Valve chegou a entrar em contato com ele há cerca de seis meses. Na época, a empresa pagou a recompensa pelo reporte do bug e disse que não só estava resolvendo o problema, como já havia consertado o erro em um dos jogos criados com o motor gráfico Valve Source.
Florian não quis revelar qual dos games foi corrigido, pois, segundo ele, os hackers poderiam procurar pelo patch entre os arquivos do jogo, dificultando o trabalho da Valve. O pesquisador só cita o caso do CS:GO, pois o título conta com cerca de 27 milhões de jogadores e ainda está vulnerável.
Outros jogos da Valve podem ter a falha na segurança
Além de CS:GO, outros jogos também podem ter o bug, já que usam o motor Source, como Half-Life 2, Garry’s Mod, Team Fortress 2, Left 4 Dead, e Portal 2. Os games desenvolvidos com a Source 2, que nem Dota 2, ou com versões modificadas da engine, como Titanfall, não foram afetados.
Carl Schou, um dos líderes do Secret Club, explicou que a falha de segurança é grave, pois o hacker pode usar o bug para roubar informações importantes, como dados bancários. Além de Florian, outros membros da equipe também já reportaram erros parecidos para a Valve no ano passado, mas, segundo Schou, a empresa ignorou as mensagens.
Valve tenta lutar contra hackers desde 2002
A Valve já enfrenta problemas com hacker há anos. O software Valve Antitrapaça (ou VAC, do inglês Valve Anti-Cheat) foi criado em 2002 para identificar e punir jogadores trapaceiros nos jogos da empresa. Mesmo com o VAC, o número de hackers no CS:GO ainda é alto. Além de ser gratuito e de fácil acesso, o jogo tem falhas de segurança que permitem o desenvolvimento de programas ilegais.
O VAC bane milhares de pessoas por mês em games da Valve. Em janeiro de 2019, um mês após CS:GO se tornar gratuito, mais de um milhão de usuários foram punidos pelo sistema, de acordo com o SteamDB. Além disso, os jogadores profissionais que sofrem VAC Ban são proibidos de participar em campeonatos oficiais do jogo.
Leia | Códigos e cheats de Modern Warfare 2
Com informações: BleepingComputer
Escrito por