美国 - 艾赫巴里通讯社
Arc Raiders 游戏曝出严重 Discord SDK 漏洞:私人聊天和凭证暴露风险
Discord 的软件开发套件 (SDK) 中一项严重的安全漏洞被曝光,游戏 "Arc Raiders" 因此无意中将玩家间的直接消息 (DM) 和用户凭证以明文形式记录到了本地游戏文件中。系统工程师 Timothy Meadows 发现的这一漏洞,引发了用户隐私和数据安全方面的严重关切,因为它可能将敏感对话和登录信息暴露给未经授权的访问者。
该事件的曝光源于 Meadows 在一篇博文中详细阐述了他的发现。他解释了 "Arc Raiders" 是如何在没有任何加密措施的情况下,将玩家之间的直接消息直接存储到本地日志文件中的。这意味着,任何能够访问这些游戏日志文件的人,都有可能阅读到玩家的私人对话。更糟糕的是,该游戏使用了 Discord SDK 提供的一个未加密的 "承载令牌" (bearer token)。这个令牌实际上是用户 Discord 账户的访问密钥,包含了用户的私人消息、好友列表和账户设置等信息。
另请阅读
在此基础上,如果 "Arc Raiders" 游戏发生崩溃,用户可能会被提示将日志文件发送给游戏开发者 Embark Studios 以进行故障排除。这一过程可能无意中将包含未加密 DM 和承载令牌的敏感日志文件直接发送给开发团队,从而构成重大的隐私风险。这些信息被滥用的可能性,包括未经授权访问用户账户,是相当大的。
"Arc Raiders" 主要通过 Discord SDK 来实现游戏内显示玩家的 Discord 好友列表以及方便地邀请好友加入游戏。根据 Meadows 的说法,Discord SDK 对于这些功能所需的服务范围相对有限,通常只需要 "用于显示游戏活动信息的有限 OAuth 范围"。他认为,遵循这种有限的服务范围本可以防止游戏记录敏感的 DM 和凭证。然而,一些分析 Discord API 的工程师将部分责任归咎于 Discord 本身,认为根本问题可能存在于 SDK 的日志记录机制中,而不仅仅是游戏开发者的问题。
网上分享的一项分析指出,Discord 新的社交 SDK 中包含一个开发者可以覆盖的日志钩子 (logging hook)。令人担忧的是,Discord 可能未能正确地清理日志事件中的敏感信息,导致诸如承载令牌和消息内容等敏感信息被无意中捕获和存储。这一观点将部分责任转嫁给 Discord,并强调了在其开发者工具中实施强大安全措施的必要性。
对此发现, "Arc Raiders" 的开发者 Embark Studios 迅速采取行动,解决了这一漏洞。该公司发布了一个热修复补丁 (hotfix) 来纠正问题,并向玩家保证,没有任何私人或个人数据被传输到玩家个人电脑之外。Embark Studios 还表示,他们没有审查或保留任何可能已被记录的个人信息。作为一项预防措施,该工作室在进行彻底审计以确保集成中不存在其他安全问题期间,已完全禁用了 "Arc Raiders" 中的 Discord SDK。
这并非 Discord 首次面临安全问题。这家流行的通讯平台在去年年底遭遇了一次重大的安全漏洞事件,当时一个勒索软件团伙瞄准了该公司,索要巨额赎金,并据称窃取了包括政府身份证照片在内的大量用户数据。这些反复出现的问题凸显了保护大型数字平台用户数据所必需的持续警惕性。
相关新闻
此次漏洞的发现和后续修复,凸显了平台提供商和游戏开发者在安全 SDK 实现和严谨安全实践方面至关重要性。我们鼓励用户关注安全更新,并对授予应用程序和游戏的权限保持警惕。
