Protocolo de Steam para navegadores sería potencialmente inseguro

Protocolo de Steam para navegadores sería potencialmente inseguro

No todo es perfecto en la tienda digital de Valve, por lo menos eso sugieren algunas vunlerabilidades encontradas.

Steam parece ser un perfecto lugar para todos los que tienen un PC y les gusta comprar y compartir la entretención, pero según un paper de una firma de seguridad no todo es así. El protocolo que usa Steam para recibir parámetros desde navegadores tendría más de una vulnerabilidad.

Como sabrán, Steam usa el protocolo “steam://” para instalar juegos, mostrar actualizaciones, llevarte a la página de alguna promoción o incluso correr títulos instalados en el equipo – muy parecido a usar “http://”. No sólo es usado por el programa de forma interna cuando visitas la tienda, sino también desde otros navegadores para hacer que el programa “haga algo”. Todo bien hasta ahí hasta que la firma ReVuln encontró grandes agujeros de seguridad en esta particular función.

El problema radica en que tantos los navegadores como el propio Steam no “preguntan” ni filtran el código a ejecutar, por lo que se puede desde ver qué tiene tu equipo hasta lograr meter programas maliciosos sin que te des cuenta.. Con algo de experticia alguien puede hacerse del control de tu computadora e infectarlo con algo. El video de ReVuln lo explica todo, aunque está en inglés.

[vimeo]http://www.vimeo.com/51438866[/vimeo]

Menos mal, el propio documento ya plantea soluciones para acabar con el problema, que en su mayoría dependen de Valve implementarlas. Los usuarios pueden hacer su parte evitando usar Safari (ni yo lo uso en mi Macbook Pro 2012 de cartón), puesto que ejecuta Steam sin preguntar, y no aceptar la ejecución de Steam desde sitios de terceros – como una anotación en YouTube – tanto en tu navegador favorito como dentro de Steam mismo. No suena complicado.

Yo tenía la intención de hacer vínculos directos a Steam en Niubie, pero dado el potencial riesgo, creo que voy a desertar hasta que Valve anuncie si logró arreglar el problema o no. Nadie ha sido reportado como una víctima por esto, pero tampoco la idea es esperar a que suceda.

¿Consideras a Steam seguro después de todo?

Link: Steam Browser Protocol Insecurity [PDF] (vía Rock, Paper, Shotgun)