CS:GO: bug permite invasão de PCs a partir de convites da Steam

Um pesquisador em segurança digital descobriu uma falha que permite que hackers invadam computadores a partir de convites para jogar Counter-Strike: Global Offensive. O bug está presente na engine do jogo e pode fazer com que os cibercriminosos tomem controle total do PC da vítima.

A revelação foi feita nesta terça-feira (13) pelo site Vice. De acordo com a matéria, a descoberta foi feita pelo hacker que se identifica como “Florian”. O estudante de segurança da informação, de acordo com seu perfil no Twitter, mostrou que o problema está presente especificamente no motor gráfico Source.

O bug chegou a ser corrigido em outros jogos que utilizam a ferramenta, mas continua presente em CS: GO. A Valve, que desenvolveu a engine usada também em Team Fortress 2, Apex Legends, Dota 2 e outros, foi alertada sobre a questão em junho de 2019.

O comunicado para a empresa foi enviado por Florian através da HackerOne, plataforma de coordenação de vulnerabilidade que oferece recompensas pela descoberta de bugs. No tópico em que a brecha é abordada, a Valve chegou a reconhecer que a falha era “crítica”.

Apesar disso, não houve resposta. “Estou honestamente desapontado porque eles me ignoraram na maior parte do tempo”, disse o hacker.

Problema de segurança

Florian mostrou em um vídeo, que foi publicado no YouTube no último sábado (10), um pouco de como funciona o bug em CS:GO. O especialista codificou um exploit para tirar vantagem do problema e explicou que o sistema funciona 80% das vezes.

Ele e outros hackers que se debruçaram sobre a questão disseram, ainda, que ao infectar uma máquina, ela pode ser utilizada para infectar outros computadores.

Carl Schou, fundador de um grupo de pesquisadores chamado Secret Club, disse no Twitter que encontrou outras vulnerabilidades, mas que a Valve não ligou muito para o problema. "Eles realmente não se importam com a segurança e integridade de seus jogos”, afirmou Schou.

A Valve não se pronunciou sobre o assunto e um representante da empresa se negou a comentar sobre a questão para o site Vice.

E aí, você já tinha ouvido falar dessa brecha de segurança? Ficou preocupado? Deixe a sua opinião na seção de comentários abaixo!