陌生人邀请我加入CS:GO游戏，我一接受就被盗号了

梦晨 发自 凹非寺 量子位 报道 | 公众号 QbitAI

咳咳，敲黑板，CS:GO玩家们注意啦！

《反恐精英：全球行动》这款游戏，被曝有远程代码执行漏洞(Remote Code Execute，以下简称RCE)，让攻击者仅凭Steam游戏邀请就能接管你的电脑。

△黑客远程调用了被攻击电脑的计算器

据白帽子黑客组织Secret Club称，漏洞存在于CS:GO使用的起源引擎里，两年前就已报告给游戏制作商V社。

现在只能确定CS:GO里还有这个漏洞，军团要塞2已修复，其它使用起源引擎的游戏情况不明。

攻击者可制作病毒通过Steam好友列表传播，玩家恍然大悟，原来这就是一直有机器人账号一直问我玩不玩CS:GO的原因啊。

CS:GO拥有规模庞大的游戏内物品交易市场，很多玩家账号中存有价值高昂的虚拟物品，一旦被攻击可能带来财产损失。

对此，我们建议不要理睬陌生人的起源引擎游戏邀请，以及不要点击其它通过Steam好友消息发出的不明链接。

CS:GO目前是Steam游戏平台上同时在线玩家最多的游戏，拥有规模庞大的电竞赛事，是V社旗下最赚钱的游戏之一。

V社发言人目前没有表态。

V社懒得很

两年前Secret Club成员发现这个漏洞时就提交到了全球漏洞赏金平台HackerOne上。

公司可以在这个平台发布悬赏奖励给在他们的产品中发现安全隐患的黑客。V社平均对每个悬赏支付750美元。

V社对提交的漏洞态度从来都是支付赏金了事，既不回应具体情况，也不给修复。

Secret Club中多名成员都遭遇过这种冷处理，SteamDB的创始人Pavel Djundik也证实这一点。

热心的黑客们最后纷纷选择把漏洞公开。

起源引擎游戏中光RCE漏洞就有很多个，另一位黑客Bien Pham也趁此机会曝光了他发现的RCE漏洞，通过连接到恶意的私人游戏服务器触发。

连接正常的服务器，但玩了恶意的游戏地图也有RCE漏洞。

除了游戏，Steam客户端也存在RCE漏洞。而且这个漏洞持续存在了10年之久，直到18年4月才被修复。

这个可以获得任意Steam游戏激活码的漏洞修复的倒是挺快。

程序员在线崩溃

最后，再说一说带来这个bug的起源引擎本身。

起源引擎是一个古老的游戏引擎，于2004年诞生，半条命2是第一个使用起源引擎的游戏。

V社前工程师Richard Geldrich曾在推特上解释为什么CS:GO的更新内容很少。因为现在已经没人能看懂起源引擎1里的古老代码了，增加新功能而不破坏老功能非常困难。

2020年4月，CS:GO和军团要塞2两款使用起源引擎的游戏源代码曾遭泄露，这下可以看看问题都出在哪了。

有人分析泄露文件发现，代码写得很糟糕，程序员疯狂在注释中倒苦水，表示写新代码燃尽了，哪有时间修复老Bug啊。

这是一个蠢办法，但我没时间做的更好了。

多线程的坏处，后面会造成程序崩溃！

我不知道为什么，我不想知道为什么，我不应该思考这是为什么，但如果不按糟糕的方法做这个面板就不会正确显示。

我希望我写的足够糟糕，这样他们以后会禁止我再写用户界面。

希望G胖不要光躺着数钱了，管管Bug。

参考链接： [1]https://www.vice.com/en/article/dyvgej/counter-strike-bug-allows-hackers-to-take-over-a-pc-with-a-steam-invite [2]https://news.ycombinator.com/item?id=26796203 [3]https://www.youtube.com/watch?v=T-BoDW1_9P4&t=2s

— 完 —

本文系网易新闻•网易号特色内容激励计划签约账号【量子位】原创内容，未经账号授权，禁止随意转载。

量子位 QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态

一键三连「分享」、「点赞」和「在看」

科技前沿进展日日相见~