Steam個人檔案頁面目前存在安全漏洞 - Steam

※ 引述《smallcountry (冰鋒冷劍)》之銘言：
: 本文轉載不須告知，感謝置底聊天區板友提供的消息。
: 雖然這是Reddit上消息來源，但是他由Steam Moderator發布，使用新聞標題。
: https://redd.it/5skfg4
: 巴哈的討論應該比較清楚
: https://forum.gamer.com.tw/C.php?bsn=60599&snA=13091&tnum=2
: ==============================================================================
: 原文大意是說：
: 這項漏洞已經回報Valve，應該很快會被修正。
: 目前的Steam個人檔案頁面存在安全漏洞，
: 只要你進入別人可疑的(真實的)Steam個人檔案頁面時立即可能遭到感染。
: 所有裝置的瀏覽器目前都受到影響。
: Do NOT click suspicious (real) steam profile links and
: Disable JavaScript on Browser.
: 目前的建議不要點擊任何進入可疑的(真實的)Steam個人檔案頁面網址連結，
: 且停用瀏覽器的JavaScript。

那串討論回文是我

以下都是推測，不過我覺得可能性很大，巴哈那邊我就不詳述了

我剛查看一下，為什麼點進『別人』個人首頁會受到釣魚網站的『攻擊』(非感染)

根據巴哈另一篇文章有教學如何在個人首頁播放Youtube的音樂

1.建立一篇攻略，標題要使用html語法『iframe』(重點)連結至Youtube(或任何連結)

2.使用『我的指南』展示欄，並將第一篇攻略擺上去

3.V社沒有檢查將html語法去除

4.個人頁面「我的指南」的iframe被執行，建立出框架並連結至Youtube→

Youtube自動播放→達成個人首頁自動播放音樂


iframe是幹麻的?Html語法中iframe是一種內置框架，能在網頁中在放置另一個網頁

漏洞是在V社檢查文章標題時，沒有將html語法去除

接下來就好玩了，iframe的語法可以拿來做啥?

搭配上JavaScript，可以做到自動轉址

你可能第一次進去是看到正常的個人網頁，但是因為iframe透過JS自動連結到釣魚網頁

你可能看到畫面閃一下就跳回登入畫面(釣魚網頁)，

以為要重新登入，就輸入帳號密碼&驗證碼。

這時候釣魚網站就取得你的帳號、密碼及1分鐘內的驗證碼，

只要用自動化程式來自動登入，神不知鬼不覺就登入你的帳號。

不過因為V社交易系統的關係，物品庫的損失可以不計，頂多被刪掉

受害者有用手機驗證，因為要用手機再次確認，所以無法交易

受害者沒用手機驗證或E-mail驗證，因為有託管系統，即時發現的話傷害也能避免

比較大的問題在於，如果你有錢包餘額或是有登錄信用卡

透過『送禮』的方式，會造成實際上的損害(送禮不受30天交易限制)

黑客可以透過送禮榨乾錢包&刷爆信用卡、修改Steam密碼來達成拖延時間，

再將透過G2A、Eaby等拍賣網站，將禮物賣到第三方善意人士手上
============================================================================
受害者變成加害者
============================================================================
利用自動化機器人，用你的個人頁面，再次創造出上述漏洞

透過你的好友系統聊天，四處傳播，而且因為是『真正的Steam社區』的網址

所以V社網頁偵測也無法偵測是否為偽造、假、高風險網站

所以現在建議任何版友不要去點任何個人網頁，並且將JS確實關閉

因為這次漏洞更嚴重點，如果iframe 包的不是釣魚網站而是勒索病毒呢?
--
約書亞：『艾絲蒂爾要上了喔!』
艾絲蒂爾：『OK!交給我吧!』
約&艾 ：『喔!啊啊啊啊!!!』
艾絲蒂爾：『奧義!太極無~~按二下!』 by 零之軌跡
約書亞&支援科眾人：『..........』 一段翻譯姬的美麗誤會

--