忘记冒名顶替者。“在我们中间”是黑客的乐园
904字
2020-11-20 22:32
10阅读
火星译客

《我们中间》这款独立游戏因其混合了有益的多人合作和狡猾的破坏而迅速蹿红。但事实证明,背信弃义的可能性远远超出了游戏开发者的预期。

周二,安全公司站得住(站得住)的研究员詹姆斯·塞布里(James Sebree)发表了一篇博客文章,列举了他在过去两个月里发现的我们身上的一系列相对简单、容易被黑客攻击的漏洞,这些漏洞让一系列异乎寻常的欺骗行为得以发生。其中一些破坏了游戏的基本机制,即玩家在空间站上合作,同时试图识别那些同时试图破坏并杀死他们的秘密冒名者。Sebree说他的技巧,例如,允许他杀死玩家,模仿其他玩家,在游戏,传送穿过墙壁,他性格超负荷的速度,控制其他玩家的动作,获得了免费游戏内物品,禁止球员没有主机,或删除禁止自己。

Sebree说,他和一些喜欢这款游戏的朋友从9月下旬开始研究它的代码,目标是修改它,使其允许超过默认的10名玩家。但他很快发现,改变游戏的潜力远不止于此。“当我开始深入研究时,我注意到了其他问题,并试图给他们一个机会,”Sebree说,“我发现所有这些都是可能的。”

Sebree说,这款游戏安全漏洞的关键在于,它的服务器并不是用来验证运行在玩家电脑上的游戏客户端发送的信息,而这是在大多数流行的电脑游戏中防止作弊的基本防护措施。Sebree能够使用dnSpy和IL2CPP工具对游戏代码进行反向工程,创建一个修改版的游戏客户端,向服务器发送各种欺骗或修改的数据。“假设我是玩家1,但我以玩家2的身份发出指令,”Sebree说。“玩家2将取而代之。”

Sebree远不是我们当中第一个进行黑客攻击的人,尽管他可能是第一个全面、公开地这么做的人。至少从10月初开始,就有玩家抱怨我们中间的黑客和作弊行为。(当玩家通过外部渠道串通时,这款游戏还存在模拟作弊的问题。)一些玩家还在10月中旬收到了大量支持特朗普的垃圾邮件。Sebree说他能够复制这种攻击,利用同样缺乏对消息发送者的服务器端验证的情况,像其他玩家一样发送消息。

WIRED联系了我们背后的小游戏开发商Innersloth,该公司回应说他们正在研究这个问题。Sebree说,他曾在10月中旬多次与Innersloth联系,分享他的发现,但没有得到回应。他注意到他强调的一些技巧已经被修正了,比如改变你的角色的颜色,立即识别冒名者,或者立即杀死其他玩家。(Sebree说,另一种杀死对手的方法——召聚集议并迫使所有其他玩家投票将受害者扔出飞机——仍然有效。)他也承认,他在几周内都没有测试过一些作弊手段,比如禁止其他玩家,解除禁令,或者复活死去的玩家,但是其他黑客技术都没有修复。尽管他公开的所有黑客攻击都是由于缺乏服务器端数据验证的结果,Sebree说,不同类型的数据可能需要添加它们自己的验证,而不是单一的一揽子修复。

考虑到Innersloth网站的“团队”页面上只有三个人,它没有足够的资源去挖掘和修复游戏中每一个可能被攻击的漏洞也就不足为奇了,Sebree说。他认为他所发现的那些基本错误必然会出现在像我们这样的独立游戏中,这些游戏是由一群开发者使用Unity引擎这样的工具来减少游戏构建的障碍而创造出来的。Sebree的博客文章指出了另一款独立游戏《秋人》中类似的作弊技巧,这款游戏允许玩家飞行、传送和高速移动。

Sebree承认他在我们公司发现的安全漏洞对用户来说并不是一个严重的威胁。例如,它们不允许访问目标玩家电脑上超出游戏范围的任何东西。他说:“不太可能有人被黑客攻击,身份被盗,因为他们在我们中间玩游戏。”“但绝对有可能去骚扰别人或破坏他们的乐趣。”

为了不让这种欺骗和破坏成为可能,Sebree说他在博客中省略了一些指示,让其他人可以很容易地复制他的黑客行为。尽管如此,他还是希望自己的研究结果能够帮助独立开发者(包括我们在内)更好地保护自己的游戏。他希望,通过一些软件的修复,游戏中不正当的欺骗行为将再次局限于游戏中的冒名者,而不是那些破坏游戏代码的人。

0 条评论
评论不能为空