Cada vez que publico un nuevo artículo sobre Electronic Arts, una parte de mí muere un poco. Esta semana (más como esta hora), se trata del cliente de descarga directa de EA, Origin y el masivo Vulnerabilidad que pone a más de 40 millones de usuarios en riesgo de ser explotados por terceros.
Los participantes en un evento de Black Hat el pasado viernes en Ámsterdam reconocieron y demostraron la vulnerabilidad al instalar software malicioso en computadoras vulnerables. "La plataforma Origin permite a los usuarios malintencionados explotar vulnerabilidades o características locales al abusar del mecanismo de manejo de URI de Origin", explicaron los investigadores de ReVuln, Donato Ferrante y Luigi Auriemma, durante el evento. En términos sencillos, un usuario accede a un URI en el juego, y la superposición de Origin es engañada para tratarla como un enlace de instalación amigable. Desafortunadamente, en lugar de descargar Campo de batalla 3, te quedas con Campo de batalla: mata a tu GPU.
Al modificar las variables en los enlaces URI subyacentes, los comandos para iniciar un juego pueden reemplazarse con instrucciones que hacen que una computadora instale un programa malicioso en su lugar. La técnica funciona contra personas que han instalado. Crisis 3 y una variedad de otros juegos. Otras técnicas funcionan contra máquinas con diferentes títulos instalados.
El exploit es excepcionalmente similar a uno que afectó a Steam a fines del año pasado. Por lo que puedo decir, Steam aún tiene que solucionar este problema en su arquitectura. Esto indica: la vulnerabilidad es demasiado complicada de arreglar (dudosa), o que el riesgo de seguridad es una apuesta necesaria, y ambas compañías consideran que los beneficios del sistema de URI son mayores que las preocupaciones (excepcionalmente más probable, si no algo decepcionante ).
Pobre EA es cada vez más el tema de la atención de los medios de comunicación últimamente, y los informes bursátiles indican una empresa que se hunde lentamente. No estoy diciendo que debas abandonar el barco, ni siquiera estoy diciendo que EA no podrá recuperarse del primer trimestre de 2013, pero a.m diciendo es que definitivamente hay espacio para otro juego gratis en mi biblioteca de Origin, EA.
Es una broma. Principalmente.