网传Steam出现安全漏洞 玩家电脑可能会被当成矿机

根据reddit网友的爆料，安全研究员Vasily Kravets近日发现了Steam的重大安全漏洞。据悉，一些不法分子甚至可以利用该漏洞将玩家的PC变成矿机。消息一出，立即引发了很多网友的关注。

据悉，此次Steam出现的安全漏洞并不复杂：Steam出于某些内部目的（考虑），便在玩家的电脑中安装了“Steam Client Service（Steam客户端服务）”。这意味着“用户”组的任何一位用户都可以启动或停止服务。

这是什么意思呢？

当Steam客户端运行时，将自动为一系列注册表项目的相关权限提供许可，如果一些别有用心的人利用特殊手段（符号链接），将这些权限授予另外一种服务，那么任意一位用户都可以启动和停止这项服务。这意味着，如果用户在电脑上安装了Steam，就能使用最高权限运行任何程序。

危害有多大？

根据安全研究员Vasily Kravets所言，这种漏洞的危险性在于：Steam此次安装的客户端服务（实际上是为了在用户电脑上运行第三方程序而设计的），将允许一些启动程序获得用户电脑的最高权限。玩家们或许都看到过Steam上的一些免费游戏（当然，有不少很垃圾），但是没有人能够保证：一些别有用心的人（或者是开发者）不会通过漏洞让玩家的电脑为挖矿服务。此外，由于这些程序拥有了最高权限，一些潜在的危险还会越过管理员权限，造成更大损害，例如：禁用杀毒软件、隐藏和更改用户电脑的任何文件，甚至还可以窃取个人隐私。

早在6月15日，安全研究员Vasily Kravets通过HackerOne向Valve报告了这个漏洞，但是到了6月16日，HackerOne的员工却表示“不适用”，给出了一定的原因。经过讨论，7月20日，HackerOne工作人员再次将此次报告标记为“不适用”。到了8月7日，也就是安全研究员Vasily Kravets初次提交报告后的第45天，他不得不将这项漏洞公之于众，同时希望Steam开发人员及时修复。

Vasily Kravets表示：“我并不是第一个发现漏洞的人，但却是第一个进行分析的人。V社的态度令我感到惊讶，也让我感到失望。我从来没想过，一家严谨的大公司居然对这样的漏洞给出了难以预料的回复。我表示难以理解，也很难接受这家公司的做法。我不建议玩家们删除Steam，但是希望大家在使用的时候能多加注意。”

然而，这件事情其实还没完。

7月20日，当Vasily Kravets的漏洞报告被拒绝后，他曾经通知相关人员（HackerOne员工），将在7月30日之后公布漏洞信息；

8月2日，一位HackerOne员工禁止Vasily Kravets透露更多细节；

8月6日，Steam进行了更新，但是并没有修复相关的漏洞；

值得一提的是，此前曾有独立游戏《Abstractism》疑似捆绑用户“挖矿” 被Steam强制下架。至于V社何时解决漏洞并做出进一步回应，还请关注我们的后续报道。（感兴趣的玩家可以通过此链接来了解更多详情）