Telkens als ik een nieuw artikel over Electronic Arts publiceer, sterft een deel van mij een beetje. Deze week (meer zoals dit uur) gaat het over EA's direct-download client, Origin en de massief kwetsbaarheid die meer dan 40 miljoen gebruikers in gevaar brengt voor misbruik door derden.
Deelnemers aan een Black Hat-evenement afgelopen vrijdag in Amsterdam herkenden en demonstreerden de exploit door kwaadwillende software te installeren op kwetsbare computers. "Het Origin-platform biedt kwaadwillende gebruikers de mogelijkheid lokale kwetsbaarheden of functies te misbruiken door misbruik te maken van het Origin URI-afhandelingsmechanisme," aldus ReVuln-onderzoekers Donato Ferrante en Luigi Auriemma tijdens het evenement. In termen van leken heeft een gebruiker toegang tot een URI-in-game en Origin's overlay wordt misleid om het als een vriendelijke installatiekoppeling te behandelen. Helaas, in plaats van downloaden Slagveld 3, je blijft achter Battlefield: kill je GPU.
Door de variabelen in de onderliggende URI-koppelingen te wijzigen, kunnen de opdrachten voor het starten van een game worden vervangen door instructies die ervoor zorgen dat een computer in plaats daarvan een kwaadaardig programma installeert. De techniek werkt tegen mensen die hebben geïnstalleerd Crysis 3 en een verscheidenheid aan andere spellen. Andere technieken werken tegen machines waarop verschillende titels zijn geïnstalleerd.
De exploit is uitzonderlijk vergelijkbaar met een die stoom vorig jaar beïnvloedde. Voor zover ik weet, heeft Steam dit probleem nog niet opgelost in hun architectuur. Dit geeft aan: de exploit is te gek, verdraaid ingewikkeld om te repareren (twijfelachtig), of dat het beveiligingsrisico een noodzakelijke gok is, en beide bedrijven vinden dat de voordelen van het URI-systeem opwegen tegen de zorgen (uitzonderlijk waarschijnlijk, zo niet licht teleurstellend) ).
Arme EA is de laatste tijd in toenemende mate het onderwerp van media-aandacht, en aandelenrapporten wijzen op een langzaam zinkende onderneming. Ik zeg niet dat je het schip moet verlaten - ik zeg niet eens dat EA niet zal kunnen herstellen van Q1 2013 - maar ik ben Zeggen is dat er zeker ruimte is voor nog een gratis spel in mijn Origin-bibliotheek, EA.
Grapje. Meestal.