Una primera persona popular El juego de disparos tiene vulnerabilidades significativas que permiten a los piratas informáticos maliciosos controlar las computadoras de otros jugadores, siempre que estén en la misma partida en línea. La situación es tan grave que algunos streamers han instado a la gente a no jugar el juego, ya que lo han declarado “completamente imposible de jugar” porque los piratas informáticos “se han hecho cargo”.
“Me he encontrado con muchos de ellos, ha sido como casi todos los grupos de presión”, dijo un transmisor en un video de hace seis meses.
Las vulnerabilidades están en Llamada del deber: Black Ops III, un juego publicado por Activision. Según otro transmisor, “los piratas informáticos tienen una herramienta que puede revelar su dirección IP” cuando juegan.
“Pueden unirse a tu juego, pueden echarte del juego, pueden corromper tu [Downloadable Content]pueden colapsar tu juego, pueden hacer lo que quieran”, agregó.
Lanzado en 2015, Operaciones encubiertas III todavía atrae a más de 5.000 jugadores al día, según las estadísticas de la plataforma de juegos Steam. Debido a su antigüedad, parchear las vulnerabilidades no parece ser una prioridad para el editor del juego, Activision, por lo que dos jugadores convertidos en piratas informáticos se han encargado de parchear las vulnerabilidades del juego y hacerlo más seguro para jugar.
“El juego se ha infestado de piratas informáticos. Hay toneladas de vulnerabilidades de seguridad que tienen un impacto severo”, dijo a TechCrunch Maurice Heumann, uno de los dos piratas informáticos detrás del esfuerzo por arreglar el juego. “Puedes ser hackeado simplemente jugando el juego. Sus datos pueden ser robados y mucho más.”
Heumann ha sido ingeniería inversa Operaciones encubiertas III desde 2015. En ese momento, él y un amigo estaban trabajando en un “cliente”, esencialmente una versión modificada y personalizada del juego, pero como eran “jóvenes y tontos”, dijo, tuitearon sobre su proyecto y Activision envió les envió una carta de cese y desistimiento, que los “asustó por completo” y los impulsó a dejar de trabajar en el cliente.
Ahora Heumann lo está intentando de nuevo, y esta vez, al menos hasta ahora, a Activision no parece importarle. Dijo que encontró dos vulnerabilidades en el juego capaces de ejecución remota de código, o RCE, un tipo de falla que permite a los piratas informáticos maliciosos ejecutar código de forma remota en el dispositivo del objetivo, tomando el control total del mismo, y las informó a Activision el 14 de mayo. y 2 de diciembre de 2022.
Activision reconoció el primer informe de error y le otorgó una recompensa por informarlo. En el caso del segundo error, Heumann dijo que aún no ha recibido respuesta.
Sin embargo, hasta ahora, Activision aún no los ha solucionado. (Heumann compartió capturas de pantalla con TechCrunch de sus informes de errores a Activision).
“Supongo que de alguna manera registraron que existen, se lo pasaron al equipo de desarrollo y luego de alguna manera se pierde, probablemente debido al hecho de que los juegos antiguos ya no tienen prioridad. […] los juegos viejos son viejos, ya nadie compra copias nuevas, por lo que no vale la pena dedicar tiempo a mantenerlos”, dijo. “Como activision no está haciendo nada, solo voy a arreglar las cosas yo mismo”.
El portavoz de Activision, Neil Wood, no hizo comentarios cuando se le contactó antes de la publicación.
El proyecto de Heumann es de código abierto y está pidiendo a la gente de la comunidad que lo apoye, dado que está trabajando en él en su tiempo libre.
La idea es que su cliente reemplace esencialmente el iniciador oficial del juego, o lo inicie a través de Steam, de modo que cuando los jugadores lo abran, el cliente parchee las vulnerabilidades, aplique correcciones de rendimiento y permita a los jugadores jugar “de forma segura sin tener que preocuparse”, dijo. .
La desventaja de este enfoque es que los jugadores que usan su versión del juego no pueden interactuar con otros jugadores que usan el juego oficial. Pero el objetivo de Heumann es atraer a tantas personas como sea posible a su ecosistema, atrayéndolas ofreciéndoles no solo una mejor seguridad sino también modificaciones y otras características que no están presentes en el juego actual.
Heumann dijo que las únicas cosas que no son de código abierto son los parches para las vulnerabilidades, porque ayudarían a los hackers maliciosos a encontrarlas y explotarlas con personas que usan la versión vulnerable del juego.
Después de nueve meses trabajando en él nuevamente, Heumann dijo que el proyecto aún no está completo, pero tiene casi 180 probadores que lo están ayudando a encontrar y corregir errores, y puede estar listo para jugadores regulares en un par de meses.
Heumann es uno de varios piratas informáticos que trabajan para que el juego sea más seguro para los jugadores. Otro hacker altruista que se hace llamar shiversoftdev en línea también es trabajando en un proyecto para proteger a los jugadores de Black Ops III, que él llama un “parche comunitario”. Su enfoque es diferente al de Heumann, ya que su objetivo es permitir que los jugadores inicien el juego desde Steam, permitiéndoles permanecer en el ecosistema oficial, pero sin tener que preocuparse por ser pirateados.
“Es irreparable. No juegues, no compres este juego”.
Shiversoftdev también está ayudando a Heumann con su proyecto, pero admite que el proyecto de Heumann será el mejor a largo plazo.
“Principalmente me enfoco en proteger a los jugadores que necesitan/quieren permanecer en el oficial [Black Ops III] servidores, donde [Heumann] está apuntando a su propio ecosistema”, dijo shiversoftdev a TechCrunch. “Me enfoco solo en solucionar problemas críticos con el juego. Además, [Heumann] puede aprovechar el hecho de que todos los jugadores en su ecosistema están en su versión del juego, lo que permite métodos de protección mucho más fuertes”.
Heumann y shiversoftdev no son los únicos que han decidido arreglar juegos antiguos por su cuenta, sin esperar a los desarrolladores originales. En 2020, un codificador que se hace llamar Milenko creó un detector de bots para el juego de disparos en primera persona de 2007. fortaleza del equipo 2. El juego está notoriamente plagado de bots y tramposos, por lo que el programador desarrolló sus propios bots especiales, que detectan otros bots y tramposos, y automáticamente los matan o los señalan a otros jugadores, dándoles la oportunidad de eliminarlos del juego.
Si bien aún trabajan en sus parches y clientes, Heumann y shiversoftdev sugieren que los jugadores eviten Operaciones encubiertas III por completo, o al menos usar el parche de la comunidad.
“No puedo subestimar cuán trivial es la explotación de esta vulnerabilidad”, dijo shiversoftdev. “Arregle si puede, y si no, trate de evitar los lobbies públicos de varios jugadores. Si transmite, use cuentas alternativas y evite que se filtre su nombre de usuario de Steam. Use una VPN mientras está conectado a cualquier [Call of Duty] servidores.”
Ambos se enfrentan a una batalla cuesta arriba. Según uno de los streamers que ha denunciado la existencia de tramposos y hackers en Operaciones encubiertas III“los piratas informáticos son tan jodidamente molestos que pasarán horas y horas creando nuevas herramientas para eludir los parches que la comunidad está creando, por lo que es solo este ciclo interminable de creación de parches, creación de nuevas modificaciones, creación de parches, creación de nuevas modificaciones”.
“Es irreparable. No lo juegues, no compres este juego”, dijo, “si tienes el juego en Steam, desinstálalo”.
¿Hackeas o aplicas ingeniería inversa a los videojuegos? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a lorenzo@techcrunch.com. También puede comunicarse con TechCrunch a través de SecureDrop.
