Steam将强制执行短信验证以遏制肆虐的恶意更新

为应对最近爆发的强制恶意更新
，著名游戏平台Steam出品方Valve近日发布公告称 ，执行将为Steam 上发布游戏的短信的恶开发者实施额外的安全措施，包括基于短信的验证意更确认码 。

游戏及软件开发商在 Steam 平台上分发其产品需要用到Steamworks，遏制它支持DRM（数字版权管理） 、肆虐多人游戏、免费模板强制视频流 、执行配对、短信的恶成就系统 、验证意更游戏内语音和聊天、遏制微交易  、肆虐统计、强制云保存和社区制作内容共享（Steam Workshop）。执行但从今年8月下旬开始，短信的恶有关 Steamworks 帐户遭到入侵以及攻击者上传恶意版本、香港云服务器利用恶意软件感染玩家的报告数量不断增加。

为了遏制该问题 ，Valve 将从 2023 年 10 月 24 日开始强制实施基于短信的安全检查，游戏开发人员必须通过该检查才能在默认发行分支（非测试版本）上推送更新 。

对于将新用户添加到 Steamworks 合作伙伴组（该组已受到基于电子邮件的确认保护）时，将强制执行相同的要求 
。从 10 月 24 日开始，建站模板群组管理员必须使用短信代码验证操作 。对于那些使用 SetAppBuildLive API 的用户 ，Steam 已将其更新为需要 steamID 进行确认 ，特别是对于已发布应用程序默认分支的更改
。

Valve 表示，如果开发者没有电话号码，将无法新发布或者更新应用。

并不完美的云计算解决方案

虽然引入基于短信的验证是为Steam实现了更好的供应链安全 ，但该系统仍存在一些问题。游戏开发者伯努瓦·弗雷斯隆 (Benoît Freslon)称，他的账户感染了一种信息窃取恶意软件 ，该恶意软件被用来窃取他的凭证，发布了《NanoWar：细胞 VS 病毒》游戏的源码下载恶意更新，而Valve 基于短信的双重验证安全措施无助于阻止攻击 ，因为信息窃取恶意软件抢走了他账户的所有权限。

此外 ，基于短信的双重验证本质上容易受到 SIM 交换攻击 ，攻击者可以将游戏开发者的号码转移到新的 SIM 上并绕过安全措施。源码库

很赞哦!（37）