為應(yīng)對最近爆發(fā)的惡意更新，著名游戲平臺Steam出品方Valve近日發(fā)布公告稱，將為Steam 上發(fā)布游戲的開發(fā)者實施額外的安全措施，包括基于短信的確認碼。

游戲及軟件開發(fā)商在 Steam 平臺上分發(fā)其產(chǎn)品需要用到Steamworks，它支持DRM（數(shù)字版權(quán)管理）、多人游戲、視頻流、配對、成就系統(tǒng)、游戲內(nèi)語音和聊天、微交易、統(tǒng)計、云保存和社區(qū)制作內(nèi)容共享（Steam Workshop）。但從今年8月下旬開始，有關(guān) Steamworks 帳戶遭到入侵以及攻擊者上傳惡意版本、利用惡意軟件感染玩家的報告數(shù)量不斷增加。

為了遏制該問題，Valve 將從 2023 年 10 月 24 日開始強制實施基于短信的安全檢查，游戲開發(fā)人員必須通過該檢查才能在默認發(fā)行分支（非測試版本）上推送更新。

對于將新用戶添加到 Steamworks 合作伙伴組（該組已受到基于電子郵件的確認保護）時，將強制執(zhí)行相同的要求。從 10 月 24 日開始，群組管理員必須使用短信代碼驗證操作。對于那些使用 SetAppBuildLive API 的用戶，Steam 已將其更新為需要 steamID 進行確認，特別是對于已發(fā)布應(yīng)用程序默認分支的更改。

Valve 表示，如果開發(fā)者沒有電話號碼，將無法新發(fā)布或者更新應(yīng)用。

并不完美的解決方案

雖然引入基于短信的驗證是為Steam實現(xiàn)了更好的供應(yīng)鏈安全，但該系統(tǒng)仍存在一些問題。游戲開發(fā)者伯努瓦·弗雷斯隆 (Beno?t Freslon)稱，他的賬戶感染了一種信息竊取惡意軟件，該惡意軟件被用來竊取他的憑證，發(fā)布了《NanoWar：細胞 VS 病毒》游戲的惡意更新，而Valve 基于短信的雙重驗證安全措施無助于阻止攻擊，因為信息竊取惡意軟件搶走了他賬戶的所有權(quán)限。

此外，基于短信的雙重驗證本質(zhì)上容易受到 SIM 交換攻擊，攻擊者可以將游戲開發(fā)者的號碼轉(zhuǎn)移到新的 SIM 上并繞過安全措施。