Как 16-летний хакер ради шутки взломал Steam

Близится день искрометного юмора, и пока кто-то готовится постить бояны десятилетней давности, IT-специалисты готовят по-настоящему крутые розыгрыши. Как, к примеру, Руби Нилон — автор захватывающей игры «Смотри, как сохнет краска», вся соль которой в названии. Это несуществующая игра-шутка, которую разработчик смог выложить на Steam самостоятельно, просто используя некоторые уязвимости в платформе. Эти «дыры» уже пофиксили, но стоит почитать о самом опыте взлома самого известного в мире игрового онлайн-магазина, тем более, что Руби описал его в деталях.

К слову, Руби — 16 лет. В 2012 году он получил благодарность от Microsoft за обнаружение уязвимости, поступил в вуз в 14 лет и стал «одним из самых юных студентов на специальности Computer Science в Британии». 

Если вы заходили на домашнюю Steam в воскресенье вечером, вы могли заметить нечто интересное. Новую игру под названием Watch Paint Dry («Смотри, как сохнет краска»). Она вызвала много шума (если честно, я поразвлекся на форумах), поскольку люди жаловались, что Valve/Steam вообще забила на качество контроля игр по Greenlight (это система, которая позволяет разработчикам игр заручиться помощью сообщества для выпуска на Steam — ред.). Но эта игра никогда не попадала на Greenlight. Хоть я и считаю, что это отличная платформа для тех, кто рассматривает инди-разработку как привлекательную для себя карьеру.

Я хотел бы извиниться, если задел кого-то из инди-разработчиков, которые изо всех сил пытаются попасть на Steam. Это всего лишь шутка, я хотел проверить кое-что, о чем писал отчеты в Valve несколько последних месяцев. Речь о возможности вывести в Steam абсолютно любую игру, так, чтобы парни из Valve даже краем глаза ее не видели. Это устаревший гайд, поскольку Valve уже закрыла эти «дыры».

Получение аккаунта в Steamworks

Технические детали будут приведены ниже, но все мое исследование этих уязвимостей началось с получения доступа к Steamworks. Не буду рассказывать, как или зачем я это сделал. Но могу сказать, что не использовал уязвимостей в веб-формах или Greenlight, не действовал через кого-то, кого лично знаю в Valve. И хотя эта уязвимость больше недоступна, деталей рассказывать не буду и не просите. У меня свои причины молчать.

В любом случае, я получил доступ к Steamworks (это внутренняя платформа Valve по публикации контента на Steam, она же поддерживает мультиплееры, DRM, достижения в играх и т.д.). И это привело меня к идее осмотреться вокруг на предмет уязвимостей.

Я пытался связаться с Valve, но мне не ответили. В конце-концов, время шло к апрелю, так что я решил использовать «неназванную игру», чтобы разыграть шутку на 1 апреля и привлечь внимание Valve к этим «дыркам».

Часть рассказа о том, как я делал 45-секундный симулятор высыхающей краски в RPG Maker я, пожалуй, опущу. Я им отнюдь не горжусь, да это и неважно.

Получение Steam Trading Cards

Ну какая же игра вроде ‘Watch Paint Dry’ обойдется без замечательных обменных карточек (в Steam trading cards — это виртуальные коллекционные карточки, которые выпадают игрокам во время игры и которые можно менять на игровые значки и обмениваемые предметы — ред.)? После 10 минут фотошопа я набросал базовый шутливый набор таких карточек. Valve должна проверить карточки, смайлы, фоны для профиля, прежде чем я их выпущу. Но так ли это на самом деле?

С первого взгляда видно, что у статуса релиза несколько состояний.

Интересно, а какой за ними код?

Что занятно, они отслеживают и мою сессию, и ID аккаунта редактора. Давайте-ка попробуем поменять это все на данные кого-то, кто мог бы работать в Valve, поменять значение на какое-нибудь несуществующее, и посмотрим, не получится ли на выходе другая форма.

Интересненько… Новый «последний редактор» — кто-то из Valve. А если мы сохраним форму снова, но со значением Released («Опубликовано»)?

Так что же случилось? Вкратце, когда я ввел «неправильный» запрос, мне возвратили полный список опций с их значениями. В этом случае я увидел, что опции Released соответствует значение 5. Я обновил форму, чтобы заново получить editor_accountid, поменял значение статуса релиза с 3 до 5 (Released), сохранил это все — и сервер решил, что это — настоящий запрос от настоящего разработчика, чьи виртуальные карточки были одобрены в компании. Сервер не контролировал, проверял ли кто-то из Valve мое творение, а просто установил его статус как Released. Ну ладно, перейдем к публикации игры в магазине.

Процесс получения одобрения от Valve

Чтобы вы понимали, прежде чем Valve выкладывает что угодно на Steam, это что-то должно пройти три этапа релиза. Сначала ты выставляешь свою страницу в очередь на ревью, затем — финальный или почти финальный билд своей игры, и только после этого получаешь возможность выпустить ее.

Основное: релиз игры

Сайт Steamworks — преимущественно на AJAX. Весь код для Javascript-функций, который отвечает за основные возможности, совсем не спрятан и может быть прочтен любым (кто залогинен в Steamworks).

Этот код сам по себе интересен, но мне нужно было прежде всего доказать работоспособность своей идеи, так что я обращал внимание только на релевантные вещи. Так я нашел интересную Javascript-функцию под названием «ReleaseGame(appid, data)». Похоже было, что она задает типичный AJAX-запрос (и здесь не было вообще никакой верификации) к Steam и приводит к релизу приложения.

Вызов функции ReleaseGame с параметрами 445730 (мой appid) и пустым полем данных привело к ошибке 403 (доступ запрещен). Интересно. Я глянул на некоторые другие функции в файле и заметил, что почти все они добавляют к запросу JSON параметр под названием sessionid с Session ID, который мы уже видели ранее, когда выпускали набор карточек.

Комментарий тоже очень помог!

Вызываем ReleaseGame(445730, { ‘sessionid’: ‘my_session_id’)?

А теперь — в магазин Steam…

Та-дам! Признаюсь, ее появление в секции с новыми релизами было недосмотром с моей стороны. Я изначально хотел, чтобы она была со статусом «Выходит 1 апреля» и не появлялась до пятницы (хотя столько времени игре не дали бы провисеть). Также признаюсь, что был большой соблазн посмотреть, до какой стадии релиза я могу добраться, но думаю, это к лучшему, что такое «приложение» не попало в продажи.

Я связался с Valve и они пофиксили уязвимость.

Чему я научился? Работая с пользовательским контентом, который сначала нужно одобрить, не используйте статусы Review Ready и Reviewed как два состояния для пользовательского контента. Лучше, чтобы проверка контента состояла из нескольких этапов, на каждом из которых каждый кусок контента получал бы что-то вроде «талончика». И чтобы контент не мог уйти в релиз, пока все его части не получат этого одобрения. Ну или просто не разрешайте пользователям устанавливать статус контента как Released.

¯\_(ツ)_/¯