Spelare fixar ett videospel "övertaget" av hackare

Ett populärt first-person shooter-spel har betydande sårbarheter som tillåter illvilliga hackare att ta över andra spelares datorer, så länge de är med i samma onlinematch. Situationen är så svår att vissa streamers har uppmanat folk att inte spela spelet, eftersom de har förklarat att det är ”helt ospelbart” eftersom hackare har ”tagit över.”

”Jag har stött på många av dem, det har varit som nästan varenda lobby”, sa en streamer i en video från sex månader sedan.

Sårbarheterna finns i Call of Duty: Black Ops III, ett spel publicerat av Activision. Enligt en annan streamer ”har hackare ett verktyg som kan avslöja din IP-adress” när de spelar spelet.

”De kan gå med i ditt spel, de kan sparka dig från spelet, de kan korrumpera ditt [nedladdningsbara innehåll], de kan krascha ditt spel, de kan göra vad de vill”, tillade han.

Black Ops III släpptes 2015 och lockar fortfarande mer än 5 000 spelare om dagen, enligt statistik från spelplattformen Steam. På grund av dess ålder verkar det inte vara en prioritet att korrigera sårbarheterna för spelets utgivare Activision, så två spelare som blivit hackare har tagit det i egna händer för att korrigera spelets sårbarheter och göra det säkrare att spela.

”Spelet har blivit infekterat av hackare. Det finns massor av säkerhetsbrister som har en allvarlig inverkan, säger Maurice Heumann, en av de två hackarna bakom försöket att fixa spelet, till TechCrunch. ”Du kan bli hackad bara genom att spela spelet. Din data kan bli stulen och så mycket mer.”

Heumann har reverse engineering av Black Ops III sedan 2015. Vid den tiden arbetade han och en vän på en ”klient” – i huvudsak en modifierad, anpassad version av spelet – men eftersom de var ”unga och dumma”, sa han, de twittrade om sitt projekt och Activision skickade ett upphörande-brev till dem, vilket ”skrämde” dem totalt och fick dem att sluta arbeta med klienten.

Nu försöker Heumann igen, och den här gången, åtminstone hittills, verkar Activision inte ha något emot det. Han sa att han hittade två sårbarheter i spelet som kan köra kod på distans, eller RCE – en typ av fel som gör det möjligt för illvilliga hackare att fjärrköra kod på målets enhet och effektivt ta full kontroll över den – och rapporterade dem till Activision den 14 maj. och 2 december 2022.

Activision erkände den första felrapporten och tilldelade honom en buggpremie för att ha rapporterat den. I fallet med den andra buggen sa Heumann att han inte har hört något ännu.

Hittills har Activision dock ännu inte fixat dem. (Heumann delade skärmdumpar med TechCrunch av sina felrapporter till Activision.)

”Jag antar att de på något sätt spelade in att de existerar, skickade det vidare till utvecklarteamet och sedan försvinner det på något sätt, förmodligen på grund av det faktum att gamla spel inte har någon prioritet längre… de gamla spelen är gamla, ingen köper nya exemplar längre , så att spendera tid på att underhålla dem är inte värt det”, sa han. ”Eftersom Activision inte gör någonting, ska jag bara fixa saker själv.”
Neil Wood, talesperson för Activision och Treyarch, studion som utvecklade spelet, skickade följande uttalande: ”Call of Duty: Black Ops III publicerades 2015, och vi är fast beslutna att fortsätta stödja denna titel 8 år efter dess original. släpp. Vi är medvetna om ett tekniskt problem på Steam-versionen av Call of Duty: Black Ops III och är planerade att distribuera en uppdatering denna vecka. Vi tackar vårt samhälle för deras fortsatta stöd.”

Heumanns projekt är öppen källkod och han ber folk i samhället att stödja det, med tanke på att han arbetar med det på sin fritid.

Tanken är att hans klient i huvudsak kommer att ersätta spelets officiella startprogram – eller lansera det via Steam – så när spelare öppnar det, korrigerar klienten sårbarheterna, tillämpar prestandafixar och låter spelare spela ”säkert utan att behöva oroa sig”, sa han.

Nackdelen med detta tillvägagångssätt är att spelarna som använder hans version av spelet inte kan interagera med andra spelare som använder det officiella spelet. Men Heumanns mål är att få så många människor som möjligt till sitt ekosystem, locka dem genom att erbjuda inte bara bättre säkerhet utan även modifieringar och andra funktioner som inte finns i det aktuella spelet.

Heumann sa att det enda som inte är öppen källkod är patchar för sårbarheterna, eftersom de skulle hjälpa skadliga hackare att hitta och utnyttja dem med personer som använder den sårbara versionen av spelet.

Efter nio månaders arbete med det igen, sa Heumann att projektet inte är avslutat ännu, men han har nästan 180 testare som hjälper honom att hitta och fixa buggar och kan vara redo för vanliga spelare om ett par månader.

Heumann är en av flera hackare som arbetar för att göra spelet säkrare för spelare. En annan altruistisk hacker som går efter onlinehandtaget shiversoftdev arbetar också med ett projekt för att skydda Black Ops III-spelare, som han kallar en ”community patch.” Hans tillvägagångssätt skiljer sig från Heumanns, eftersom hans mål är att fortfarande låta spelare starta spelet från Steam, låta dem stanna i det officiella ekosystemet, men utan att behöva oroa sig för att bli hackade.

Shiversoftdev hjälper också Heumann med sitt projekt, men han medger att Heumanns projekt kommer att bli det bättre på lång sikt.

”Jag fokuserar främst på att skydda spelare som behöver/vill stanna på de officiella [Black Ops III]-servrarna, där [Heumann] riktar in sig på sitt eget ekosystem,” sa shiversoftdev till TechCrunch. ”Jag fokuserar på att bara fixa kritiska problem med spelet. Dessutom kan [Heumann] utnyttja det faktum att alla spelare i hans ekosystem är på hans version av spelet, vilket möjliggör mycket starkare skyddsmetoder.”

Heumann och shiversoftdev är inte de enda som har bestämt sig för att fixa gamla spel på egen hand, utan att vänta på de ursprungliga utvecklarna. År 2020 skapade en kodare som går under smeknamnet Milenko en botdetektor för förstapersonsskjutaren Team Fortress 2 från 2007. Spelet är notoriskt full av bots och fuskare, så kodaren utvecklade sina egna speciella bots, som upptäcker andra bots och fuskare och automatiskt döda dem eller flagga dem till andra spelare, vilket ger dem chansen att rösta bort dem från spelet.

Medan de fortfarande arbetar med sina patchar och klienter, föreslår Heumann och shiversoftdev båda att spelare undviker Black Ops III helt, eller åtminstone använder community-patchen.

”Jag kan inte underskatta hur trivialt utnyttjandet av denna sårbarhet är,” sa shiversoftdev. ”Lägg till om du kan, och om inte, försök undvika offentliga flerspelarlobbyer. Om du streamar, använd alt-konton och undvik att få ditt steam-användarnamn läckt. Använd ett VPN när du är ansluten till alla [Call of Duty]-servrar.”

Båda står inför en uppförsbacke. Enligt en av streamarna som har fördömt förekomsten av fuskare och hackare på Black Ops III, ”är hackare så jävla irriterande att de kommer att spendera timmar och timmar på att skapa nya verktyg för att kringgå de patchar som communityn skapar så det är bara den här oändliga cykeln att skapa patchar skapa nya mods skapa patchar skapa nya mods.”