Os investigadores da Check Point identificaram um novo conjunto de vulnerabilidades na biblioteca virtual da Steam, também conhecida como Steam Sockets, que podem colocar em risco a segurança de mais de 25 milhões de utilizadores.

A empresa de cibersegurança explica que, uma vez que a biblioteca virtual suporta comunicação num modo peer-to-peer, a exploração das vulnerabilidades abriria a porta a múltiplos ataques. Os cibercriminosos poderiam, por exemplo, mandar abaixo o jogo do seu adversário de forma remota ou até mesmo o próprio servidor da Valve.

Caso um jogador estivesse a jogar um título criado por developers terceiros, os atacantes poderiam tomar o controlo do servidor do jogo remotamente. Ao fazê-lo, conseguiriam controlar também o computador do jogador, aproveitando para roubar as suas credenciais e outras informações privadas. A mesma vulnerabilidade poderia ainda servir de meio para a apropriação de todos os computadores ligados ao servidor do jogo em questão.

Citando estatísticas da Steam, os investigadores detalham que a vulnerabilidade poderá ter afetado centenas de milhares de jogadores diariamente. Ao contrário de ataques anteriores, onde o jogador precisaria de clicar num determinado link ou de fazer o download de um ficheiro para que o seu computador fosse comprometido, neste cenário, todas as vítimas foram afetadas sem se darem conta disso, pois não era necessária qualquer interação da sua parte.

Ao todo, os investigadores da Check Point descobriram quatro vulnerabilidades na Steam Sockets: de CVE-2020-6016 a CVE-2020-6019. Em setembro de 2020, as descobertas foram partilhadas com a Valve que, três semanas depois, lançou as devidas correções para os diferentes jogos. De acordo com a Valve, os programadores de jogos de plataformas terceiras foram também informados.

“Com a subida de popularidade e o uso massivo de videojogos durante a pandemia, a indústria de gaming deve ser sujeita a um escrutínio minucioso, uma vez que o risco é real e o impacto pode ser muito sério”, sublinha afirma Eyal Itkin, Security Researcher at Check Point citado em comunicado, acrescentando que todos “os gamers devem prestar especial atenção aos jogos que descarregaram antes de setembro deste ano.”