Steam en el punto de mira por XSS

Steam, una marca propiedad del gigante de videojuegos Valve, estuvo en grandes problemas de seguridad, pero ya fueron solucionados.

Steam en punto de mira

Valve y su plataforma Steam, atesoran muchos secretos, de lo contrario no tendrían el éxito que se conoce, con alrededor de 125 millones de usuarios activos, suma que muchas desarrolladoras de videojuegos quisieran amasar, pero no se debe a sus creaciones, más bien a la plataforma.

El punto es que, Valve ha tenido que publicar un parche para solucionar una vulnerabilidad XSS en Steam que podría ser explotada simplemente con ver un perfil de usuario modificado de cierta forma por un atacante. Esta vulnerabilidad permitiría a un atacante realizar ataques de phishing o ejecutar scripts maliciosos simplemente al abrir una página de perfil.

Al parecer, el principal problema venía cuando un atacante introducía código en el showcase de un perfil (la parte que el jugador decide destacar en su perfil para que se muestre a otros usuarios). Es por eso que una de las primeras recomendaciones fue deshabilitar JavaScript en los navegadores para así evitar la posibilidad de que se ejecutase código malicioso en el sistema de la víctima.

Valve vulnerable?

Así pues, solo con que un usuario viese un perfil malicioso de otro usuario de Steam podría verse afectado de las siguientes formas:

• El atacante podría utilizar estos scripts maliciosos introducidos en su perfil para hacer que la víctima se gaste los fondos que tiene asociados en su cuenta en cualquier objeto que el atacante desee. Tampoco sería necesario que la víctima confirmase la compra, puesto que esta se encuentra dentro de una sesión legítima.
• El atacante podría redirigir a la víctima a una nueva web fuera de Steam que fuese, por ejemplo, una web de phishing. La víctima podría entonces introducir sus credenciales y estas serían robadas por el atacante.
• Manipular elementos de la web a gusto del atacante.

Amplia más el tema en: protegerse.com