Hver gang jeg publiserer en ny artikkel om Electronic Arts, dør en del av meg litt. Denne uken (mer som denne time) handler det om EAs direkte nedlastingsklient, Origin, og massiv sårbarhet som setter over 40 millioner brukere i fare for tredjepartsutnyttelse.
Deltakere i en Black Hat-hendelse i fredags i Amsterdam anerkjente og demonstrerte utnyttelsen ved å installere skadelig programvare på sårbare datamaskiner. "Origin-plattformen gjør det mulig for onde brukere å utnytte lokale sårbarheter eller funksjoner ved å misbruke opprinnelses-URI-håndteringsmekanismen," reVuln-forskere Donato Ferrante og Luigi Auriemma detaljert under arrangementet. I lekmannens termer, bruker en bruker en URI i spillet, og Origin's overlegg er lurt til å behandle det som en vennlig installasjonslink. Dessverre, i stedet for å laste ned Battlefield 3, du er igjen med Slagmark: Drep din GPU.
Ved å endre variablene i de underliggende URI-koblingene, kan kommandoene for å starte et spill erstattes med instruksjoner som forårsaker at en datamaskin skal installere et skadelig program i stedet. Teknikken fungerer mot folk som har installert Crysis 3 og en rekke andre spill. Andre teknikker arbeider mot maskiner med forskjellige titler installert.
Utnyttelsen er eksepsjonelt lik en som berørte Steam sent i fjor. Så vidt jeg kan fortelle, har Steam ennå ikke å lapp dette problemet i deres arkitektur. Dette indikerer enten: Utnyttelsen er for gosh darn komplisert for å fikse (tvilsomt), eller at sikkerhetsrisikoen er en nødvendig spilling, og begge selskapene vurderer fordelene med URI-systemet til å oppveie bekymringene (eksepsjonelt mer sannsynlig, om ikke litt skuffende ).
Dårlig EA er i økende grad gjenstand for medieoppmerksomhet i det siste, og lagerrapporter indikerer et sakte synkende venture. Jeg sier ikke at du skal forlate skipet - jeg sier ikke engang at EA ikke vil kunne komme seg fra første kvartal 2013 - men jeg er sier at det er definitivt plass til et annet gratis spill i mitt Origin-bibliotek, EA.
Bare tuller. For det meste.