今天刷到这个漏洞评分的时候,我整个人愣住了——CVSS 9.0分。满分10分,这个数字意味着什么,稍微关注过安全圈的老哥应该都懂。
Valve的Steam平台最近被曝出一个安全漏洞,危险等级属于"严重"那一档。攻击手法简单到让人后背发凉:你只需要点一下聊天消息里的一个链接,账号的全部个人数据就会被静默传输给攻击者。没有弹窗警告,没有二次确认,页面甚至会正常跳转到Steam首页——表面上看起来一切正常,但在后台,你的信息已经被无声息地拿走了。
发现这个漏洞的是白帽黑客Victor,他是在漏洞赏金计划期间挖到的。Victor此前曾多次向Steam提交漏洞报告,也帮助修复过一些关键安全问题。他本人公开披露时说了这么一句话:他在Hacker0x01平台参与漏洞赏金时,从一家估值4500亿美元的公司身上,发现了一个一键式的严重漏洞。
那么问题来了:这个漏洞到底怎么运作的?为什么评分会这么高?
攻击链条拆解:一次点击就够了
根据目前披露的技术细节,攻击者会制作一个恶意链接,伪装成普通的Steam商店页面或者游戏页面,外观上和正规链接完全看不出区别。当用户点击之后,个人数据被窃取的过程就已经完成。整个过程不需要用户输入密码,不需要确认弹窗,更不需要下载任何文件——就一次点击。
这个特性直接拉高了它的CVSS评分。通常情况下,能拿到9.0分以上的漏洞,要么是可以远程利用,要么是攻击复杂度极低,要么是影响范围巨大。而这个漏洞三条全占。攻击门槛极低,不需要任何技术背景,只要能生成一个恶意链接即可;利用方式隐蔽,普通用户根本察觉不到数据已经泄露;影响范围覆盖整个Steam的用户群体,涉及数亿个账号。
更麻烦的是它会自己传播
如果只是偷一个账号的数据,那还算是个"普通"的高危漏洞。但这个漏洞具备蠕虫式传播的特性,这部分细节才是真正让人觉得麻烦的地方。
一旦某个账号被攻陷,恶意代码会自动通过该账号的Steam聊天好友列表,向所有好友发送同样的恶意链接。因为是好友发来的消息,接收方天然会有信任感,点击率会大幅提升。而被攻陷的账号又会变成新的传播节点,继续向它的好友列表扩散。这种自我复制、快速蔓延的机制,让漏洞在平台内部可能实现大规模传播,而不是仅仅停留在单个账号被窃取的程度。
这意味着即便你自己足够警惕,不点陌生链接,但如果你的某位好友已经中招,你依然可能收到来自"好友"的恶意消息。而人在收到熟人消息时的警惕心,是远低于收到陌生人消息时的。
正方:这波Valve反应太慢了
截至目前的公开信息显示,Valve这家估值约4500亿美元的公司,尚未发布修复该漏洞的补丁,也没有就此事件发表官方声明。换句话说,这个漏洞现在仍然处于可被利用的状态,数亿Steam用户的数据安全持续面临威胁。
站在安全从业者和受影响用户的角度看,这个响应速度确实让人难以接受。一个CVSS 9.0分的漏洞被公开披露,正常流程应该是官方迅速响应、发布补丁、通知用户、给出临时防护建议。但从目前的进度来看,Valve还没走到第一步。外媒普遍关注这家行业巨头面对高危漏洞时的反应速度,以及何时才能为数亿用户提供有效的安全修复方案。
而且别忘了,Valve的市值是4500亿美元——这不是一个小作坊。用户量级和商业体量摆在那里,安全响应机制却显得迟钝,这部分确实该挨批评。
反方:漏洞利用条件其实没那么宽松
但从另一个角度看,这个漏洞虽然评分高,实际利用却存在一些天然限制。首先,攻击需要用户主动点击恶意链接,而不是完全无交互的远程利用。对于那些本身就有安全习惯、不随便点聊天链接的用户来说,中招概率会大幅降低。
其次,漏洞虽然能窃取个人数据,但Steam本身有令牌验证机制和登录记录检查功能。开启令牌验证能增加一层额外保护,定期检查账号登录记录也能及时发现异常。这些手段不能完全堵住漏洞,但能在一定程度上降低风险。安全专家给出的临时建议也集中在这几块:近期绝对不要点击聊天消息中任何来历不明的链接,哪怕发送者是你的好友——因为好友的账号可能已经被攻陷了。同时开启Steam令牌验证,完成账号登录记录的检查,能在补丁出来之前给自己多争取一点安全空间。
另外还有一个值得注意的点:发现漏洞的Victor是通过漏洞赏金计划提交的,这意味着漏洞是被白帽黑客在正规渠道挖出来的,而不是已经流入黑市或者在野利用中被捕获。从漏洞的生命周期来看,这算是一个相对可控的阶段,比那些已经在暗网流传了半年才被发现的情况要好得多。
到底有多严重?两边的说法都有道理
说实话,两边观点各有依据。这个漏洞的危险性毋庸置疑,CVSS 9.0的分数本身就是一个专业评估结果,不是媒体为了流量炒出来的。攻击方式的隐蔽性、数据被窃取的静默性、蠕虫式的自动传播能力,这三条每一条单独拎出来都够喝一壶的,组合在一起确实称得上"严重"二字。
但同时也得承认,漏洞的实际危害规模取决于利用它的人能铺多广的传播面。如果用户端有足够的警惕性,平台方能在短时间内推出补丁,那么真实受影响的范围可能会被控制在一定限度内。问题是,"短时间内"这个前提目前还没兑现。Valve的沉默让这个窗口期被拉长了,而窗口期越长,出事的概率就越大。
说到底,一个估值4500亿美元的公司,面对9.0分的漏洞,补丁速度决定了这件事最终的定性。如果明天就修了,那只是一次有惊无险的安全事件;如果拖上好几天甚至更久,那用户有理由问一句:安全团队到底在干嘛?
作为普通Steam用户,现阶段能做的最实际的事情其实就两条:一,管住手,任何链接都不要点,哪怕是你兄弟发来的;二,开令牌,查登录记录。剩下的,就看Valve什么时候把这补丁端上来了。
热门跟贴