В Steam устранена серьезная уязвимость в шифровании

Александр Панасенко 04 Мая 2016 - 09:34

Средства криптографической защиты информации

...

В Steam устранена серьезная уязвимость в шифровании

Разработчики компании Valve выпустили обновление для клиента Steam, устранив очень серьезную проблему с шифрованием. Несколько уязвимостей обнаружил девятнадцатилетний исследователь Натаниэль Тейс (Nathaniel Theis), так же известный как XMPPwocky. Тейс пишет, что при соблюдении определенных условий, атакующий мог получить доступ к трафику жертв и перехватывать пароли в виде простого текста.

Чтобы разобраться в атаке, представленной Тейсом, нужно понимать, как работает криптография в Steam. Steam шифрует весь важный трафик, используя сессионный ключ, которые генерируется при помощи алгоритма AES-256-CBC, шифруется с применением RSA-1024 и жестко закодированного публичного ключа, а затем отправляется на серверы Valve, где и используется для дешифрации трафика идущего от пользователя.

В блоге на steamdb.info Тейс подробно рассказал, что обнаружил проблему в системе аутентификации, так как специалисты Valve не сумели должным образом защитить используемый MAC (Message Authentication Code). Это позволило исследователю реализовать man-in-the-middle атаки с применением replay, которые приводили либо к VAC-бану ни в чем неповинных пользователей, либо вообще раскрывали их пароли в виде простого текста. Последнее стало возможно благодаря использованию атак padding oracle (PDF), которые помогли исследователю по частям восстановить содержимое отдельных секретных идентификаторов, сообщает xakep.ru.

Исследователь сообщает, что на устранение проблемы Valve понадобилось меньше суток, — временное исправление было выпущено менее чем через 12 часов, а позже был представлен полноценный патч.

Тейс рассказал, что в исследовании ему помогал друг, известный под псевдонимом Zemnmez. Так как у Valve нет официальной bug bounty программы, обоих исследователей включили в зал славы Valve’s Security, а также вознаградили уникальными внутриировыми шапками Finder’s Fee с Burning Flames эффектом.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 27 Марта 2026 - 09:43

Android Домашние пользователи Google

В Android 17 готовят умный режим ускоренной зарядки смартфона

В Android 17 разработчики готовят ещё одну небольшую, но вполне полезную функцию. В коде Android 17 Beta 3 нашли упоминания нового режима «Приоритетная зарядка» (Priority Charging), он должен помогать быстрее зарядить смартфон в те моменты, когда времени в обрез.

Судя по описанию, если включить этот режим, система временно поставит на паузу фоновую активность — например, обновления приложений и другие процессы, которые незаметно потребляют ресурсы устройства. За счёт этого больше энергии должно уходить непосредственно на зарядку аккумулятора.

При этом полностью «отключать жизнь» смартфона режим не собирается. Входящие звонки и СМС, как следует из найденных строк кода, всё равно будут приходить в обычном режиме.

Google также, судя по всему, рассчитывает, что функция будет работать в паре с адаптером мощностью от 30 Вт. То есть это не просто программный тумблер для галочки: компания явно хочет, чтобы Priority Charging использовался вместе с достаточно быстрым зарядным устройством.

Ещё один важный момент — контроль температуры. Быстрая зарядка почти всегда означает дополнительный нагрев, и в описании функции прямо говорится, что смартфон будет сам следить за температурой и удерживать аккумулятор в безопасных пределах. Google явно пытается сделать ставку на более умное распределение ресурсов и аккуратную работу с аккумулятором.

Пока Priority Charging в пользовательских настройках не видно. То есть функция, скорее всего, всё ещё находится в разработке или тестируется в фоновом режиме. Поэтому гарантии, что она доберётся до финальной версии Android 17, пока нет.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!