Η Valve ανακοίνωσε την εφαρμογή επιπλέον μέτρων ασφαλείας για τους προγραμματιστές που δημοσιεύουν παιχνίδια στο Steam, συμπεριλαμβανομένων κωδικών επιβεβαίωσης με βάση τα SMS. Αυτό γίνεται για να αντιμετωπιστεί η πρόσφατη εμφάνιση κακόβουλων ενημερώσεων που προωθούν κακόβουλο λογισμικό από επηρεασμένους λογαριασμούς των εκδοτών.
Δείτε επίσης: Steam: Κακόβουλο λογισμικό διαδίδεται μέσω του καταστήματος
Το Steamworks είναι ένα σύνολο εργαλείων και υπηρεσιών που οι προγραμματιστές και οι εκδότες παιχνιδιών/λογισμικού χρησιμοποιούν για να διανέμουν τα προϊόντα τους στην πλατφόρμα Steam. Υποστηρίζει DRM (διαχείριση ψηφιακών δικαιωμάτων), πολλαπλασιαστές, ροή βίντεο, συνδυασμό παιχνιδιού, σύστημα επιτευγμάτων, φωνή και συνομιλία εντός παιχνιδιού, μικρές συναλλαγές, στατιστικά, αποθήκευση στο cloud και κοινοποίηση περιεχομένου που δημιουργήθηκε από την κοινότητα Steam Workshop.
Από τα τέλη Αυγούστου και μέχρι τον Σεπτέμβριο του 2023, έχει καταγραφεί αυξημένος αριθμός αναφορών σχετικά με παραβιασμένους λογαριασμούς Steamworks και την αποστολή κακόβουλων εκδόσεων που μολύνουν τους gamers με κακόβουλο λογισμικό.
Η Valve διαβεβαίωσε την κοινότητα των gamers ότι οι επιπτώσεις αυτών των επιθέσεων περιορίστηκαν σε μερικές εκατοντάδες χρήστες, οι οποίοι ενημερώθηκαν ατομικά σχετικά με την πιθανή παραβίαση μέσω ειδοποιήσεων που έστειλε η εταιρεία.
Για να αντιμετωπίσει αυτό το πρόβλημα, η Valve θα επιβάλει έναν νέο έλεγχο ασφαλείας βασισμένο σε SMS, που θα τεθεί σε ισχύ από τις 24 Οκτωβρίου 2023. Οι προγραμματιστές παιχνιδιών θα πρέπει να περάσουν αυτόν τον έλεγχο πριν αναβαθμίσουν το παιχνίδι στο προεπιλεγμένο release branch (όχι στις δοκιμαστικές εκδόσεις).
Η ίδια απαίτηση θα επιβληθεί όταν κάποιος προσπαθεί να προσθέσει νέους χρήστες στην ομάδα συνεργατών του Steamworks, η οποία ήδη προστατεύεται από επιβεβαίωση μέσω ηλεκτρονικού ταχυδρομείου. Από τις 24 Οκτωβρίου, ο διαχειριστής της ομάδας πρέπει να επιβεβαιώσει την ενέργεια με έναν κωδικό SMS.
Δείτε ακόμα: Το Diablo IV έρχεται στο Steam στις 17 Οκτωβρίου
“Στο πλαίσιο μιας ενημέρωσης ασφαλείας, οποιοσδήποτε λογαριασμός Steamworks που έχει ρυθμιστεί να λειτουργεί στον προεπιλεγμένο/δημόσιο κλάδο ενός προγράμματος θα πρέπει να έχει έναν αριθμό τηλεφώνου που συσχετίζεται με τον λογαριασμό του, ώστε η Steam να μπορεί να σας στείλει έναν κωδικό επιβεβαίωσης μέσω κειμένου προτού συνεχίσετε“, αναφέρει η ανακοίνωση της Valve.
“Το ίδιο θα ισχύει και για οποιοδήποτε λογαριασμό Steamworks που χρειάζεται να προσθέσει νέους χρήστες. Αυτή η αλλαγή θα εφαρμοστεί από τις 24 Οκτωβρίου 2023, οπότε βεβαιωθείτε ότι προσθέσατε έναν αριθμό τηλεφώνου στον λογαριασμό σας τώρα.“
“Σχεδιάζουμε επίσης να προσθέσουμε αυτήν την απαίτηση και για άλλες ενέργειες του Steamworks στο μέλλον.“
Για όσους χρησιμοποιούν το API SetAppBuildLive, η Steam το έχει ενημερώσει ζητώντας ένα steamID για επιβεβαίωση, ειδικά για αλλαγές στον προεπιλεγμένο κλάδο μιας εφαρμογής. Η χρήση του ‘steamcmd‘ για την ενεργοποίηση των εκδόσεων δεν είναι πλέον εφαρμόσιμη για τη διαχείριση του προεπιλεγμένου κλάδου των εφαρμογών.
Επίσης, η Valve αναφέρει ότι δεν θα υπάρχει καμία παράκαμψη για τους προγραμματιστές που δεν διαθέτουν τηλεφωνικό αριθμό, επομένως πρέπει να βρουν έναν τρόπο για να λαμβάνουν SMS ώστε να μπορούν να συνεχίσουν τη δημοσίευση στην πλατφόρμα.
Υπάρχουν εναλλακτικές μέθοδοι για να αντιμετωπιστούν αυτές οι ενημερώσεις?
Ως απάντηση σε αυτό το ερώτημα, υπάρχουν μερικού τρόποι εκτός από την επιβεβαίωση μέσω SMS που μπορεί να χρησιμοποιήσει το Steam για να καταπολεμήσει τις ενημερώσεις λογισμικού που περιέχουν κακόβουλο λογισμικό.
Δείτε επίσης: Qualcomm: Τα νέα chip της θέλουν να φέρουν την ισχύ του Steam Deck στο Android
Ενημέρωση της επιβεβαίωσης του χρήστη
Μία από τις δημοφιλέστερες εναλλακτικές λύσεις είναι να ενημερωθεί το σύστημα επιβεβαίωσης του χρήστη με την προσθήκη πολλαπλών επιπέδων επιβεβαίωσης. Για παράδειγμα, η πλατφόρμα θα μπορούσε να απαιτεί από τους χρήστες να επιβεβαιώσουν την ταυτότητά τους μέσω δύο ή περισσότερων μεθόδων, όπως το SMS και την εισαγωγή ενός μοναδικού προσωπικού κωδικού.
Δημιουργία προεπιλεγμένων προστατευμένων χαρακτηριστικών
Οι ενημερώσεις νέων λογισμικών θα μπορούσαν επίσης να είναι προστατευμένες από την εισαγωγή κακόβουλου λογισμικού μέσω της δημιουργίας προεπιλεγμένων προστατευμένων χαρακτηριστικών. Για παράδειγμα, το Steam θα μπορούσε να παρέχει ένα ασφαλές περιβάλλον για την παράδοση νέων ενημερώσεων, απαιτώντας τη χρήση πιστωμένων συστημάτων.
Ενίσχυση της εκπαίδευσης των χρηστών
Τέλος, το Steam θα μπορούσε να επικεντρωθεί στην ενίσχυση της εκπαίδευσης των χρηστών για την ασφάλεια των ενημερώσεων λογισμικού. Εφαρμόζοντας διάφορες τεχνικές, όπως η ενθάρρυνση της χρήσης ασφαλών καναλιών για λήψη ενημερώσεων και η ευαισθητοποίηση για την απειλή του κακόβουλου λογισμικού, οι χρήστες μπορούν να παίξουν ενεργό ρόλο στην προστασία τους από μολυσμένες ενημερώσεις.
Πηγή: bleepingcomputer