 |
Angreifer hätten die Konten von Millionen Fortnite-Spielern kapern, die Spieler abhören und mit deren Geld Items im Fortnite Store kaufen können. Fortnite ist momentan das meistgespielte Videospiel auf dem PC. Millionen Spieler spielen es zu jeder Tages- und Nachtzeit. Da die Entwickler des Free-to-Play-Shooters ihr Geld mit In-App-Käufen im Spiel machen, haben viele Spieler ihren Account mit Zahlungsmitteln verknüpft, um den Fortnite Store nutzen zu können. Das hat sich auch bei Online-Kriminellen herumgesprochen, die es immer öfter neben FIFA- und Counterstrike-Spielerkonten auch auf Fortnite-Accounts abgesehen haben. Sicherheitsforscher haben jetzt entdeckt, wie Angreifer durch einfache Manipulation eines Links die Kontrolle über ein Fortnite-Konto erlangen konnten.
XSS-Angriff auf OAuth-Session
Epic Games, das Entwicklerstudio hinter Fortnite, hat die Sicherheitslücke in den eigenen Systemen mittlerweile behoben. Die Entwickler waren von der Sicherheitsfirma Checkpoint darauf aufmerksam gemacht worden. Die Sicherheitsforscher hatten entdeckt, dass über bestimmte Subdomains auf den Epic-Servern, die selbst nichts mit Fortnite zu tun hatten, Cross-Site-Scripting-Angriffe (XSS) möglich waren.
Die Sicherheitsforscher verleiten einen Server von Epic Games dazu, das Fortnite-Anmelde-Token des Opfers auszugeben
Die Sicherheitsforscher verleiten einen Server von Epic Games dazu, das Fortnite-Anmelde-Token des Opfers auszugeben
(Bild: Checkpoint)
Ein Angreifer konnte einem Fortnite-Spieler so einen Link unterschieben – etwa über eine Messenger-Nachricht oder ein soziales Netzwerk – der beim Klick durch das Opfer dessen OAuth-Login-Token an die Website des Angreifers übermittelte. Um das zu missbrauchen, hätte der Angreifer nur eine überzeugende Angriffswebsite bauen und Fortnite-Spieler dort hin locken müssen. Der Angriff funktioniert allerdings nur, wenn der Spieler per Single Sign-on sein Fortnite-Konto mit einem anderen Dienst verknüpft hat, etwa Facebook, Google, Nintendo, dem PlayStation Network oder XBox Live. Das ist vor allem wahrscheinlich, wenn der Nutzer das Spiel neben dem PC auch noch auf einer Konsolen-Plattform spielt. Das bei dieser Anmeldung genutzte OAuth-Token kann der Angreifer dann kopieren.
Handel mit In-Game-Gegenständen
Mit dem Zugriff auf das Fortnite-Konto des Opfers hätte der Angreifer dann Gegenstände im Fortnite Store über die Zahlungsmittel des Opfers kaufen können. Da man in Fortnite Gegenstände verschenken kann, können Online-Kriminelle solche ergaunerten Items über Drittseiten weiterverkaufen und damit Geld machen. Angreifer hätten außerdem den Ingame-Chat des Opfers mithören können, ohne dass dem betroffenen Spieler dies auffällt. Da der Hacker bei dem Angriff ein Anmelde-Token kopiert nutzt er dieselbe Session wie das Opfer. Der angegriffene Spieler wiederum bekommt von dem Angriff nichts mit.
Der Beschreibung von Checkpoint nach gab es keine Anzeichen dafür, dass bisher Fortnite-Konten über diese Lücke gekapert wurden. Und da Epic Games die Lücke geschlossen hat, sind Fortnite-Konten wohl auch in Zukunft erst einmal sicher. Fortnite-Spieler, wie andere Internet-Nutzer auch, sollten trotzdem Vorsicht walten lassen und nicht auf unbekannte Links klicken. Manchmal reicht schon ein solcher unachtsamer Klick, um die Login-Daten bei anderen Webseiten abzugreifen. (Fabian A. Scherschel) / (fab)
quelle:heise.de |
