La buona notizia è che il bug è stato risolto, la cattiva notizia però è che questa vulnerabilità era nascosta all’interno del codice di Steam da “almeno dieci anni” stando a quanto riportato dal Senior Researcher Tom Court sul blog Context.
A difesa di Valve bisogna dire che, appena segnalato il bug, la risposta è stata tempestiva ed il fix è arrivato ad appena 8 ore dalla segnalazione. Si trattava di un frammento di codice relativamente vecchio, secondo Tom Court la ragione per cui non era ancora stato individuato è che, sebbene obsoleto, il codice rimaneva funzionante, quindi nessuno si è preso la briga di ricontrollarlo.
Senza addentrarsi troppo nei dettagli tecnici (che potete trovare qui), il bug permetteva di controllare da remoto il computer di qualunque utente Steam, sfruttando una vulnerabilità insita nel sistema. Nel video che potete vedere qui sopra, i ragazzi di Context Information Security dimostrano come sia possibile, ad esempio, avviare un programma come la calcolatrice (nel video si utilizza un ambiente Windows simulato).
Ovviamente il problema non è che qualcuno cercherà di usare la vostra preziosa calcolatrice Windows (giù le mani!), ma utilizzando lo stesso sistema con intenti malevoli le possibilità sarebbero state spaventose, aprendosi a scenari degni di un episodio di Black Mirror. Fortunatamente, nonostante il bug potesse avere gravissime conseguenze, non sembra che queste ultime si siano verificate e, grazie a Context Information Security, il problema è stato individuato ed eliminato.
L’articolo su Context si conclude con un messaggio di incoraggiamento a chi si occupa di ricercare queste vulnerabilità per lavoro, sostenendo che l’esistenza di questo bug in una piattaforma così largamente utilizzata sottolinea nuovamente l’importanza di questo compito. Guardando le cose con il senno del poi poteva andare molto peggio, in più, oltre ad aver rinnovato l’attenzione di Steam verso il suo codice, questa notizia contribuisce anche a regalarci l’apertura di calcolatrice più spaventosa della storia del gaming, il che è tutto dire.
