image

Lek in EA Origin raakt 40 miljoen gebruikers (video)

dinsdag 19 maart 2013, 14:27 door Redactie, 9 reacties

Een beveiligingslek in het online distributieplatform van speluitgever Electronic Arts zorgt ervoor dat aanvallers in potentie de computers van 40 miljoen gebruikers kunnen overnemen. Beveiligingsonderzoekers Luigi Auriemma en Donato Ferrante demonstreerden de kwetsbaarheid in de Origin client vorige week tijdens de Black Hat conferentie in Amsterdam.

Origin wordt als onderdeel van verschillende populaire spellen geïnstalleerd, waaronder Battlefield 3, Crysis 3, Dead Space 3, Fifa 13 en Mass Effect 3. Via Origin kunnen gebruikers spellen, updates en andere aanvullingen voor de spellen downloaden. Zodra Origin is geïnstalleerd registreert het zich als de 'handler' voor origin:// protocol links, waarmee de spellen worden gestart.

Link
Sommige spellen hebben de mogelijkheid om aanvullende bestanden te laden. In het geval van Crysis 3 is er een optie genaamd 'openautomate' die vanaf de commandline is aan te roepen. Het spel gebruikt deze optie om een benchmark framework van Nvidia aan te roepen, maar de onderzoekers ontdekten een manier om via deze optie kwaadaardige bestanden te laten uitvoeren.

Als een origin:// link voor het eerst in de browser wordt geopend, krijgen gebruikers de vraag of ze die met de Origin client willen openen. Dat is de standaard handler voor dit type URL. Veel gebruikers zouden volgens de onderzoekers deze vraag positief hebben beantwoord, en krijgen het dialoogvenster daardoor niet opnieuw te zien.


Oplossing
Door een gebruiker vervolgens naar een kwaadaardige website te lokken of op een speciaal geprepareerde link te laten klikken, is het vervolgens mogelijk om de Origin client in de achtergrond te starten en de kwaadaardige code uit te voeren. Volgens de onderzoekers raakt dit probleem 40 miljoen gebruikers van het platform.

De kwetsbaarheid is identiek aan een probleem dat de onderzoekers met Steam vonden, een ander online distributieplatform van spelontwikkelaar Valve. Dat lek is nog altijd niet opgelost.

Net zoals in het geval van Steam krijgen gebruikers van Origin het advies om de origin:// URI uit te schakelen. Gebruikers kunnen nog steeds hun spellen spelen, maar het gebruik van aanvullende parameters zou hiermee worden voorkomen.

Reacties (9)
19-03-2013, 14:29 door Binsbergen
In Nederland word je voor dit soort praktijken gewoon opgepakt. Computervredebreuk heet dat dan. Oh, nee wacht; het zijn beveiligingsonderzoekers ...
19-03-2013, 14:49 door Anoniem
Ehm, waar in de tekst staat dat ze computervredebreuk gepleegd hebben dan?
19-03-2013, 15:36 door Martijn2
Lekken in Java en Flash raken wekelijks honderden miljoenen mensen. Dan klinkt dit opeens minder spectaculair.
19-03-2013, 15:40 door Anoniem
Aha. Daarom treedt de baas af aan het eind van de maand.
19-03-2013, 16:27 door Anoniem
@Binsbergen: wat doe jij op security.nl?
19-03-2013, 17:26 door Anoniem
Door Martijn2: Lekken in Java en Flash raken wekelijks honderden miljoenen mensen. Dan klinkt dit opeens minder spectaculair.

Dan snap je het dus niet, meeste mensen op origin hebben toch wel redelijke game pc's en dus zouden de pc's goed voor bitcoins minen etc.. zijn.
20-03-2013, 07:23 door Anoniem
En wat doe je nu best om dat te voorkomen want ik zie dat even niet.
Er staat wel: Net zoals in het geval van Steam krijgen gebruikers van Origin het advies om de origin:// URI uit te schakelen.
Yeah d'UH!
20-03-2013, 09:39 door Anoniem
dus dat 5 miljoen mensen kwetsbaar zijn voor dit boeit je niet :S.
Wat doe je dan op deze site.
Java en Flash kan ik gewoon verwijderen zonder Origin kan ik mijn games niet spelen dus ...
20-03-2013, 20:43 door NeedMoreInput
/ontopic:

URI blokkeren kan bijvoorbeeld via urlprotocolview van nirsoft http://www.nirsoft.net/utils/url_protocol_view.html

Game on ;)

Daarnaast, elk bewezen lek verdient een vermelding. Het is aan jou, als geïnteresseerde voor security.nl berichten, om te bepalen wat je ermee doet (impact en waarschijnlijkheid inschatten).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.