Magazín · Novinky · v pondělí 11. 12. 2023 20:51
Counter-Strike 2 má údajně obří bezpečnostní chybu. Umožňuje získat IP adresu hráčů na serveru a možná nejen to
Counter-Strike 2 má obří bezpečnostní chybu, vyplývá z diskuzí na sociálních platformách Reddit a X nebo dalších serverech. Ozývají se konkrétně varování před zadními vrátky, která teoreticky mohou dovolit útočníkům ze serveru, kde zrovna hrajete, spouštět škodlivý kód na vašem počítači.
S informací mezi prvními patrně přišel uživatel vystupující na Redditu pod jménem TryingToBeReallyCool, později se však na sociálních sítích začaly objevovat další a další reakce od hráčů, tvůrců obsahu i údajných expertů. Po internetu začal kolovat především snímek, který zachycuje pornografický obrázek nacházející se v okénku pro vyhození hráče ze zápasu.
HUGE SECURITY EXPLOIT IN CS2 RIGHT NOW⚠️
— Ozzny (@Ozzny_CS2) December 11, 2023
This image has been going around reddit for the last few hours (very explicit, blurred for obvious reasons). People were saying it's fake, but it isn't.
Apparently, there is a security exploit with Steam names inside CS2, which allows… pic.twitter.com/lcQqsAB5Ba
Jak se mohl obrázek do malé tabulky dostat, přitom není bůhvíjak velká záhada. Podle mnohých uživatelů stačilo, aby si hráč do jména vložil HTML kód a buď zahájil hlasování o vyhození sebe sama, anebo o vyloučení ze zápasu poprosil spoluhráče. Nám se v době psaní článku chybu zreprodukovat nepodařilo, tudíž je možné, že už byla opravena.
U hanbatých snímků to ale teprve začínalo. Jak na fóru UnknownCheats zdůraznil uživatelCrouch9706, po vložení odkazu na takzvaný IP grabber (web, který vám prozradí IP adresu uživatele, jenž odkaz rozklikne) bylo díky hlasování možné získat IP adresu všech hráčů na serveru.
Co se týče možnosti rozběhnout škodlivý software na počítačích hráčů, v současné době se spíš jedná o pouhou spekulaci. Sám TryingToBeReallyCool, jenž byl jedním z těch, co diskuzi vyvolali, svůj původní příspěvek aktualizoval o poznatky získané po rozhovoru s osobami zabývajícími se vývojem softwaru.
„Není 100% jisté, že tento exploit dokáže načíst kód do vašeho počítače, ale rozhodně je to možné. Nejlepší je se hře prozatím vyhnout, Valve pravděpodobně pracuje na opravě,“ prohlásil.
Obchodník s CS2 skiny, který používá jméno coco, nicméně na platformě X zveřejnil úryvek z konverzace, po jehož zhlédnutí běhá mráz po zádech. Údajně je totiž možné prostřednictvím exploitu načíst kterékoliv knihovny JavaScriptu, s jejichž pomocí si útočník může dělat ve vašem počítači cokoliv se mu zachce.
Unverified claims of what I think is RCE (I might be wrong). Regardless, it seems like this can do much more than just IP grabbing.https://t.co/0JtP97Vy5L
— coco - BUYING SKINS (@cs2coco) December 11, 2023
K situaci se vyjádřil také streamer, vývojář a bývalý hacker Pirate Software. Ve vysílání prohlásil, že by CS2 momentálně nehrál (dokud Valve chybu neopraví) a hráči jsou podle něj exploitem 100% zranitelní. Chybu v populárním kompetitivním titulu označil za vysoce závažnou.
If you don't want to just take my word from it, here's an actual expert's opinion validating this issue:
— Ozzny (@Ozzny_CS2) December 11, 2023
(📽️ @PirateSoftware) pic.twitter.com/zm67088kMj
Komunikace ze strany Valve je zase pojednou mizerná. Tvůrci titulu se k situaci zatím nikterak nevyjádřili. Na platformě X se začaly šířit zvěsti o údajné aktualizaci (která prý naskočila také známému, když mně pomáhal s testováním hry), ale jakékoliv podrobnosti o tom, co update dělá, bohužel nejsou k nalezení. Spekuluje se proto, že Valve už chybu stihlo opravit, ale na oficiální potvrzení si ještě budeme muset počkat.
Přáli bychom si také, aby Valve uvedlo všechna omílaná tvrzení na pravou míru a objasnilo komunitě, jak vážná chyba ve skutečnosti byla. Pokud jsou ale všechny příspěvky a zvěsti, které jsme citovali, pravdivé, zavání to nemalým problémem.