Steam通过短信验证来遏制带有恶意软件的更新

近期，Steam平台上的游戏开发者账户遭受了来自恶意软件的更新攻击，为了应对这一问题，Valve公司宣布将实施额外的安全措施，其中包括基于短信的确认码验证。本文将为大家介绍这一新措施以及其对游戏开发者和玩家的影响。

Steamworks是游戏开发者和发行商在Steam平台上分发产品所使用的一套工具和服务。它支持DRM（数字版权管理）、多人游戏、视频流媒体、匹配、成就系统、游戏内语音和聊天、微交易、统计数据、云存储以及社区创作内容共享（Steam创意工坊）。

从2023年8月末至9月期间，有关Steamworks账户被攻击的报告数量急剧增加，攻击者上传了带有恶意软件的构建版本，感染了玩家的设备。Valve公司向游戏社区保证，这些攻击的影响仅限于少数几百名用户，并通过公司发出的通知单独告知了这些用户可能存在的安全漏洞。

为了解决这一问题，Valve将于2023年10月24日开始强制实施基于短信的安全验证。游戏开发者在将更新发布到默认发布分支（非测试版本）之前，必须通过短信验证。对于尝试将新用户添加到Steamworks合作伙伴组的行为，也将实施同样的要求，即组管理员必须通过短信验证码进行验证，而该组已经受到基于电子邮件的确认保护。

Valve在本周早些时候的公告中表示：“作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置的Steamworks账户构建版本都需要与其账户关联的电话号码，以便Steam可以通过短信向您发送确认码，然后才能继续操作。对于需要添加新用户的Steamworks账户也是如此。这一变更将于2023年10月24日生效，请确保立即向您的账户添加电话号码。”

Valve还计划在未来将这一要求扩展到其他Steamworks操作。

对于使用SetAppBuildLive API的开发者来说，Steam已对其进行了更新，要求进行steamID确认，尤其是对于已发布应用程序的默认分支的更改。

使用“steamcmd”设置构建版本已不再适用于管理已发布应用程序的默认分支。

此外，Valve表示，对于没有电话号码的开发者，将没有绕过这一安全措施的方法，因此他们必须找到一种接收短信的方式，以继续在该平台上发布游戏。

尽管引入基于短信的验证是Steam实现供应链安全的一大步骤，但该系统仍然存在一些不完美之处。

其中一位游戏开发者Benoît Freslon解释说，他曾感染了一个信息窃取恶意软件，该恶意软件被用于窃取他的凭据。使用这些窃取的凭据，攻击者短暂地推送了一个带有恶意软件的更新，感染了玩家的设备。

Freslon在Twitter上解释说，Valve的新基于短信的多因素身份验证措施无法阻止这种攻击，因为信息窃取恶意软件窃取了他所有账户的会话令牌。

在他的个人网站上的另一篇文章中，这位游戏开发者解释了攻击发生在Discord上，攻击者通过诱使他下载并审查一个名为“Extreme Invaders”的Unity游戏来进行攻击。游戏安装程序在他的计算机上释放了一个窃取密码的恶意软件，该恶意软件针对他的Discord、Steam、Twitch、Twitter和其他账户。

在令牌被吊销或过期之前，攻击者继续访问开发者的账户，自由地向玩家推送带有恶意软件的游戏更新。

此外，基于短信的双因素身份验证本质上容易受到SIM卡交换攻击的影响，攻击者可以将游戏开发者的号码转移到新的SIM卡上，绕过安全措施。

对于拥有大型社区的项目来说，更好、更现代的解决方案应该是强制使用身份验证器应用程序或物理安全密钥。

为了遏制带有恶意软件的更新，Steam宣布将在2023年10月24日开始实施基于短信的验证措施。这一措施将要求游戏开发者在推送更新之前通过短信验证，并在添加新用户时进行验证。尽管该措施是一项重要的安全改进，但仍存在一些不完美之处。因此，对于拥有大型社区的项目来说，更好的选择可能是使用身份验证器应用程序或物理安全密钥。保障游戏供应链安全对于玩家的游戏体验至关重要，Steam将继续努力提高平台的安全性。

获取最新资讯、资源合集。欢迎关注公众号：黑客帮