Una vulnerabilità di Steam potrebbe mettere a rischio 72 milioni di utenti

Vasily Kravets, un giovane hacker, sembra aver scoperto una vulnerabilità “0-day” (quindi non espressamente nota allo sviluppatore) nel noto client per videogiocatori Steam. Se il problema fosse confermato potrebbe mettere a rischio 72 milioni di utenti Windows.

Il ricercatore afferma che la vulnerabilità può consentire ai malintenzionati di appropriarsi dei privilegi di amministrazione e di utilizzare tale posizione per installare malware, disabilitare software e di rubare dati.

Kravets aveva segnalato la falla ad HackerOne, una piattaforma supportata direttamente da Steam, che in un primo momento ha respinto il report. Dopo una seconda segnalazione, la vulnerabilità è stata trasmessa direttamente a Valve che, a sua volta, l’ha respinta adducendo al fatto che per essere sfruttata bisognerebbe accedere fisicamente al dispositivo che si vuole attaccare.

Contro ogni consuetudine Kravets ha quindi deciso di divulgare l’exploit a soli 45 giorni dalla segnalazione, nonostante secondo le regole di HackerOne si dovesse aspettare almeno 180 giorni. Ora che la vulnerabilità è stata resa pubblica sembra che Valve stia lavorando con l’hacker per risolvere il problema.

Dato che il codice con cui sono stati effettuati i test è disponibile al pubblico, è solo questione di tempo prima che qualche malintenzionato provi ad utilizzarlo. I consigli per non essere presi alla sprovvista sono sempre gli stessi: non installare software crackato, non utilizzare la stessa password, abilitare l’autenticazione a due fattori.

In attesa di ricevere comunicazioni ufficiali da Valve, ricordiamo che nell’epoca dell’”internet of things” ogni dispositivo può essere esposto a minacce.