Платформа Steam запровадила обов’язкове розкриття інформації про використання генеративного штучного інтелекту в іграх. Проте CEO Epic Games Тім Свіні закликає відмовитися від таких міток, стверджуючи, що вони застаріли ще до повноцінного впровадження. Критики ж наполягають: без прозорості гравці не зможуть свідомо обирати продукти.

Позиція Epic Games: мітки про ШІ втрачають сенс

CEO Epic Games Тім Свіні публічно закликав ігрові магазини, зокрема Steam, припинити використання міток “Створено з ШІ”. За його словами, штучний інтелект незабаром стане невід’ємною частиною виробництва практично всіх майбутніх ігор, тому маркування продуктів за цією ознакою не має сенсу.

“ШІ буде задіяний майже в усьому майбутньому виробництві”, — написав Свіні в соцмережі X, порівнюючи мітки про ШІ з гіпотетичними попередженнями про використання 3D-графіки або автодоповнення в коді.

Політика Steam: обов’язкове розкриття інформації

Valve, компанія-власник Steam, запровадила цього року політику, яка зобов’язує розробників повідомляти про використання генеративного ШІ під час створення гри. Це стосується текстів, графіки, коду та будь-яких інших елементів. Мета ініціативи — надати гравцям повну інформацію про продукт, який вони завантажують.

Чому гравці підтримують прозорість

Виявляється, багатьом гравцям важливо знати, як саме створена гра. Для дедалі більшої кількості користувачів, розробників та цифрових платформ інформація про методи виробництва стає частиною рішення про купівлю. Те, що Свіні вважає неминучим, інші сприймають як початок серйозної проблеми: ринок може заповнитися іграми, створеними за допомогою аутсорсингу творчих завдань на генеративний ШІ без унікального авторського бачення.

Варто зазначити, що мало хто заперечує проти використання розробниками автодоповнення під час написання коду — це вже практично стандарт індустрії. Проте генеративна графіка, діалоги, написані ШІ, та трейлери, змонтовані штучним інтелектом, викликають значно більше запитань.

Проблема якості контенту, згенерованого ШІ

Для звичайного гравця, який переглядає інді-розділ Steam, це не абстрактна дискусія. На платформі регулярно з’являються ігри з генеративним контентом, часто недостатньо перевіреним: портрети персонажів із зайвими пальцями, діалоги, написані мовою енциклопедичних статей.

Під час цьогорічного фестивалю Steam Next Fest з’явилося кілька ігор, створених майже повністю за допомогою генеративного ШІ. Гравці це помітили. Деякі студії викрили у використанні однакових промптів для генерації зображень або в безсистемному поєднанні ресурсів без справжньої дизайнерської цілісності.

Дилема незалежних розробників

Свіні турбується про малі студії. “Мені неприємно спостерігати, як Valve забирає дедалі більше можливостей у невеликих розробників”, — написав він у наступному дописі, стверджуючи, що мітки про ШІ стигматизують інді-ігри, які використовують ці інструменти етично.

Це справедлива занепокоєність. Ніхто не хоче світу, де одноосібні студії отримують покарання за використання Midjourney для створення ескізів фонової графіки або ChatGPT для мозкового штурму описів квестів. Але справедлива й протилежна позиція: гравці не хочуть відчувати себе обдуреними, купуючи ігри, які повністю передали творче ядро нейромережі.

Питання довіри та права на інформацію

Ширша проблема тут — не про штучний інтелект, а про довіру. Політика розкриття Steam дає гравцям можливість самим вирішувати, чи важлива їм ця інформація. Можливо, комусь байдуже, бо вони просто шукають розслаблюючу гру-картярку або чергову фермерську симуляцію. Але якщо комусь це важливо — через те що вони художники, їхні роботи використали для навчання ШІ без дозволу, або вони хочуть підтримувати повністю рукотворні проєкти — мітка про ШІ має значення. Це не ганебне клеймо, а фільтр.

Пропозиція Свіні повністю прибрати мітки залишить гравців у невіданні. Це також усуне ключовий механізм відповідальності. Якщо розробник випускає гру з ресурсами, згенерованими ШІ, поточна політика вимагає: просто повідомте про це. Це не цензура — це інформація.

Не весь ШІ-контент однаковий

Врешті-решт, не весь контент, створений за допомогою ШІ, однаковий. Розробник, який використовує ШІ для мозкового штурму механік, а потім шість місяців їх вручну вдосконалює, належить до іншої категорії порівняно з тим, хто просить движок “зроби симулятор побачень з вампірами” і публікує все, що вийшло. І хоча мітка “Створено з ШІ” не пояснює цих нюансів, вона принаймні відкриває можливість ставити запитання.

Ця стаття Steam вимагає розкривати використання ШІ в іграх — CEO Epic вважає це безглуздям раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Близько 31% геймерів Steam досі використовують Windows 10, незважаючи на те, що Microsoft припинила підтримку цієї операційної системи. Водночас Linux вперше перетнув позначку 3% у жовтні, що свідчить про зростаючий інтерес до альтернативних платформ.

Статистика використання операційних систем на Steam

Щомісяця Valve публікує дослідження апаратного забезпечення Steam, яке детально описує типи комп’ютерного обладнання та програмного забезпечення, які використовують мільйони користувачів платформи. Останні дані показують цікаві тенденції у виборі операційних систем серед PC-геймерів.

За даними жовтневого звіту Steam Hardware Survey, Windows 10 все ще утримує значну частку ринку серед геймерів, незважаючи на офіційне припинення підтримки з боку Microsoft 14 жовтня 2025 року. Це означає, що майже третина користувачів Steam продовжує використовувати операційну систему, яка більше не отримуватиме оновлення безпеки.

Щомісяця компанія Valve публікує дослідження апаратного забезпечення Steam — звіт про те, яке комп’ютерне обладнання та програмне забезпечення використовують її клієнти. Втім, попри те, що Windows 10 офіційно припинила підтримку 14 жовтня, понад 31% користувачів Steam досі працюють на цій застарілій операційній системі.

Порівняно з попереднім місяцем цей показник знизився трохи більше ніж на 1%, проте, враховуючи різке припинення підтримки старішої ОС, аналітики очікували більш стрімкого переходу. Можливо, багато користувачів скористалися програмою розширених оновлень безпеки Microsoft (ESU).

Основними причинами повільного переходу на Windows 11 експерти називають жорсткі системні вимоги нової операційної системи, включаючи обов’язкову наявність чіпа TPM 2.0 та підтримку Secure Boot. Багато геймерів просто не хочуть оновлювати своє обладнання заради нової ОС, особливо якщо їхні поточні системи працюють стабільно.

За офіційними даними, частка Windows 11 серед усієї ігрової аудиторії Steam нині становить 63,57%, тоді як Windows 10 — 31,14%. Іронічно, але використання Windows 7 фактично зросло після завершення підтримки Windows 10 — з 0,07% до 0,09%. Різні версії macOS від Apple охоплюють 2,11% користувачів, а Linux вперше перевищив позначку 3%, що зумовлено активною підтримкою портативних ігрових систем.

Linux досягає історичного максимуму

Найбільш вражаючою тенденцією стало зростання популярності Linux серед геймерів Steam. Вперше в історії частка Linux-користувачів перевищила 3%, що є значним досягненням для цієї операційної системи в ігровому сегменті.

Це зростання багато в чому пов’язане з розвитком Steam Deck – портативної ігрової консолі від Valve, яка працює на базі SteamOS (дистрибутив Linux). Крім того, значну роль відіграє покращення сумісності ігор з Linux завдяки технології Proton, яка дозволяє запускати Windows-ігри на Linux-системах.

Вплив Steam Deck на статистику

Steam Deck суттєво вплинув на розподіл операційних систем у екосистемі Steam. Пристрій, який працює на SteamOS 3.0 (базується на Arch Linux), автоматично збільшує частку Linux-користувачів у статистиці. Valve активно розвиває свою портативну консоль, регулярно випускаючи оновлення, які покращують сумісність з іграми та загальну продуктивність системи.

Успіх Steam Deck також стимулює розробників ігор приділяти більше уваги сумісності з Linux. Багато нових релізів тепер тестуються на предмет коректної роботи через Proton, що покращує загальний ігровий досвід на Linux-системах.

Безпекові ризики використання Windows 10

Продовження використання Windows 10 після закінчення підтримки створює серйозні ризики для кібербезпеки. Без регулярних оновлень безпеки система стає вразливою до нових загроз, включаючи шкідливе ПЗ, віруси та інші кіберзагрози.

Рекомендації для геймерів

Експерти з кібербезпеки рекомендують користувачам Windows 10 розглянути можливість переходу на Windows 11 або альтернативні операційні системи. Для тих, хто не може оновити обладнання для Windows 11, Linux може стати привабливою альтернативою, особливо з урахуванням покращеної підтримки ігор.

При виборі операційної системи важливо враховувати не лише ігрову сумісність, але й питання безпеки. Регулярні оновлення безпеки є критично важливими для захисту персональних даних та забезпечення стабільної роботи системи.

Статистика Steam Hardware Survey відображає поточні тенденції в ігровій індустрії та може слугувати індикатором майбутніх змін у використанні операційних систем серед PC-геймерів.

Ця стаття Windows 10 залишається популярною серед геймерів Steam попри закінчення підтримки раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Термін «shovelware» (від англ. shovel – лопата, совок) – це негативний термін, який часто використовується для опису відеоігор та іншого програмного забезпечення, якого краще уникати. Ось як його розпізнати, щоб не витрачати гроші даремно.

КЛЮЧОВІ ТЕЗИ

Shovelware – це неякісне програмне забезпечення

«Shovelware» – це програмне забезпечення, яке “вигрібають” у великих кількостях без особливої уваги. Його часто використовують, коли йдеться про відеоігри та програмні інструменти низької якості, які не мають великої цінності (що часто відображається в ціні).

Цей термін також використовується для опису вбудованого програмного забезпечення, яке постачається разом з іншими (часто більш якісними) іграми та інструментами, або цілих пакетів програмного забезпечення. Колись цей термін широко використовувався для опису компіляцій CD-ROM, які містили багато ігор або програмного забезпечення в одному пакеті, використовуючи підхід «кількість переважає над якістю». Ідея полягала в тому, щоб переконати покупців, що ці компіляції варто купувати через величезну кількість включених до них продуктів, хоча насправді дуже мало з них взагалі чогось варті.

Сьогодні термін «shovelware» частіше застосовується до окремого продукту, особливо коли мова йде про відеоігри. Навіть мобільні додатки можна вважати «совковим» програмним забезпеченням, зважаючи на відносну легкість створення та розповсюдження програмного забезпечення, що не вимагає особливих зусиль.

Інтернет-магазини переповнені совковим програмним забезпеченням

Взагалі кажучи, чим популярнішою стає платформа, тим більше для неї з’являється «совкового» програмного забезпечення. Nintendo Wii була надзвичайно популярною домашньою приставкою, і вона стала сумнозвісною через величезну кількість приставок, які потрапили у вітальні по всьому світу.

Продавцям достатньо перетворити відносно невеликий відсоток власників приставок на покупців того, що вони розгрібають, щоб отримати хоч якийсь прибуток. Оскільки накладні витрати на виробництво неякісного товару низькі, то й прибуток може бути високим.

Nintendo Switch пішла слідами Wii, ставши найуспішнішою консоллю Nintendo на сьогоднішній день. Це ускладнило навігацію на вітрині магазину. Електронний магазин Switch настільки переповнений незрозумілим програмним забезпеченням, що ми рекомендуємо користуватися магазином через веб-браузер на іншому пристрої.

Інші платформи, такі як Steam, PlayStation Store, Apple App Store та Google Play, дозволяють легко продавати неякісне програмне забезпечення.

Ознаки совкового ПЗ

Оскільки совкове програмне забезпечення – це одна з форм шахрайства, справедливою є стара приказка: якщо щось виглядає надто добре, щоб бути правдою, то, ймовірно, так воно і є. Совок часто продається за дуже низьку ціну, особливо в порівнянні з високоякісними продуктами, з якими він може конкурувати. Іноді вони постійно розпродаються, проводячи більше часу за зниженою ціною, ніж за своєю «повною» ціною.

Крім того, «совкове» програмне забезпечення може бути розроблене так, щоб виглядати як інші, набагато успішніші релізи. Один із прийомів – переконати покупців у тому, що вони купують товар з відомої серії. Інший прийом полягає в тому, щоб зробити продукт схожим на справжній, щоб потенційний покупець вважав, що покупка варта того, оскільки він користувався схожим випуском.

Що стосується програмного забезпечення, не варто отримувати більше, ніж ви розраховували. Якщо ви шукаєте відеоредактор, а розробник продає цілий набір програм за ту саму початкову ціну, це тривожний сигнал. Якісне програмне забезпечення (наприклад, пакет Affinity від Serif) доступне за зниженою ціною «все в одному», але ви заплатите значно більше і заощадите лише розумну суму (замість того, щоб відчувати себе так, ніби ви купили один додаток і отримали сім інших безкоштовно).

Ще один прийом, який часто використовують продавці «совкового» ПЗ, – це перепакування старих випусків у «нові» пакунки для платформ дистрибуції ігор. Це поширене в електронному магазині Nintendo Switch, де «нові» ігри для Switch випускаються знову з незначними змінами, щоб з’явитися в розділі «Нові релізи».

Перекидання активів – ще одна форма «совку». Багато розробників ігор використовують у своїх іграх готові ресурси, щоб пришвидшити розробку, але «перекидання активів» майже повністю покладається на готові елементи. Дехто доходить до того, що перепаковує чужі напрацювання або демо-файли і продає їх з метою отримання прибутку.

Заощаджуйте гроші на продажах, а не на «совках»

Найкращий спосіб роздобути дешеве програмне забезпечення та ігри – купувати їх у сприятливі моменти, наприклад, під час розпродажу в Steam або за допомогою цінового трекера на кшталт DekuDeals.

Ця стаття Що таке Shovelware або «совкове» програмне забезпечення і як його розпізнати? раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

В основній мережевий бібліотеці, що забезпечує функціональність online-ігор Valve, були виявлені критичні уразливості, експлуатація яких дозволяла зловмисникам віддалено викликати збій в роботі відеоігор і навіть перехопити контроль над порушеними сторонніми ігровими серверами для виконання довільного коду.

Уразливості (CVE-2020-6016, CVE-2020-6017, CVE-2020-6018 і CVE-2020-6019) були виявлені в бібліотеці Game Networking Sockets (GNS) або Steam Sockets від Valve – мережевий бібліотеці з відкритим кодом, яка забезпечує базовий транспортний рівень для ігор, дозволяючи поєднання функцій UDP і TCP з підтримкою шифрування, більшої надійності та тимчасової зв’язку (P2P).

Атака пов’язана з проблемою в механізмі повторної збірки пакетів (CVE-2020-6016) і помилку в реалізації C ++ для відправки групи шкідливих пакетів на цільової ігровий сервер і запуску переповнення буфера в стеку, що в кінцевому підсумку призводить до збою в роботі сервера.

За словами фахівців з Check Point, хоча виправлення для цих вразливостей було випущено ще в вересні нинішнього року, деякі сторонні розробники ігор ще не оновили свої клієнти.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути новий зчитувач PDF від Google Chrome? – ІНСТРУКЦІЯ

Як надавати дозволи, зокрема, тимчасові для програм на Android? – ІНСТРУКЦІЯ

Нова macOS Big Sur: 10 порад щодо налаштування та використання ОС

Як заборонити друзям із Facebook надсилати Вам повідомлення в Instagram? – ІНСТРУКЦІЯ

Як захисти свої пристрої під час віддаленої роботи з дому? ПОРАДИ

До речі, кібершахраям в черговий раз вдалося обійти захист офіційного магазину додатків для Android – Google Play Store, у результаті чого понад мільйон користувачів постраждали від фейковий модів для популярної гри Minecraft.

Зверніть увагу, що оператори відеосервісу TikTok усунули дві уразливості, які в комбінації дозволяють без особливих зусиль отримати контроль над чужим екаунтом. Одна з уразливостей була присутня на сайті, інша з’явилася в клієнтському додатку.

Також дослідники з кібербезпеки повідомили про зростання кількості кібератак, що використовують сервіси Google в якості зброї для обходу засобів захисту і крадіжки облікових даних, даних кредитних карт та іншої особистої інформації.

У мобільній версії додатка Facebook Messenger усунули уразливість, за допомогою якої можна було прослуховувати оточення абонента. За свідченням експерта, який знайшов баг, таємне підключення до цільового Android-пристрою у даному випадку виконується за кілька секунд.

П’ятеро фігурантів видавали себе за IT-спеціалістів фінансової установи. Під виглядом “тестування платіжної системи” вони здійснили незаконні перекази грошей на підконтрольні рахунки. У результаті таких дій вони незаконно привласнили 1,4 мільйона гривень банківської установи.

Ця стаття Steam містить уразливості, які дозволяють хакерам зламувати online-ігри раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Дослідник Василь Кравець виявив уразливість підвищення привілеїв у клієнті Steam для Windows, що зачіпає 96 млн користувачів ігрової платформи.

Експлуатація уразливості дозволяє зловмисникам з обмеженими правами використовувати техніку BaitAndSwitch для запуску виконуваних файлів з підвищеними дозволами NT AUTHORITYSYSTEM клієнтської служби Steam.

Це дозволяє потенційним злочинцям почати трьохетапну атаку, отримавши привілеї віддаленого виконання коду через уразливість в Steam грі, додатку Windows або самої ОС. Згодом атакуючий може підвищити привілеї на пристрої і запустити навантаження за допомогою дозволу SYSTEM.

За словами дослідника, це може привести до відключення брандмауера і антивірусного ПЗ, встановленню руткіта, приховування процесу майнінгу і крадіжці особистих даних будь-якого користувача ПК.

Кравець опублікував два відеоролика, в яких демонструє методи експлуатації уразливості підвищення привілеїв в Steam для отримання дозволів SYSTEM в будь-якій системі Windows, що використовує не оновлену версію Steam.

Як відомо, за останній тиждень Google збільшила кількість часу, який необхідний новій програмі Android, щоб пройти процедуру затвердження Play Store.

Нагадаємо, викраденням коштів з банківських рахунків громадян України займалася злочинна група з Дніпропетровської області. Для керування банківськими рахунками та викрадення коштів зловмисники використовували мобільні номери, що були прив’язані до банківських рахунків громадян.

Окрім цього, зловмисники розробили новий спосіб шахрайства, пов’язаний з результатами пошуку за телефонами служби підтримки. Злочинці обманюють користувачів за допомогою голосових помічників.

Зверніть увагу, нова версія веб-браузера Opera 63, яка з’явилася 20 серпня для Windows, MacOS і Linux, отримала покращений приватний режим і зміни збереження закладок.

До речі, на Galaxy Note 10+ важко не звертати уваги – його опалесцентне оздоблення, його квадратична камера, уособлює легкість, незважаючи на розміри. Огляд цієї моделі Ви знайдете тут.

Ця стаття Системи дев’яносто шести мільйонів користувачів під загрозою через баг у Steam раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Шахраї крадуть облікові записи Steam, використовуючи для цього спеціально розроблений сайт з “безкоштовними роздаванням ігор”. За допомогою вкрадених екаунтів зловмисники намагаються заманити нових жертв.

Злочинці розсилають друзям жертви повідомлення про можливість отримати безкоштовну гру в Steam, досить лише зайти на спеціальний сайт і ввести промо-код, повідомляє видання Bleeping Computer. За URL-посиланням користувач переходить на портал steamsafe.fun, який потім перенаправляє його на один з інтернет-сайтів зловмисників. Зовні вони виглядають, як сайти з безкоштовними роздачами ігор в ігровому майданчику Steam.

Користувачу пропонують натиснути кнопку “Roll” для отримання випадкової безкоштовної гри, як, наприклад, PUBG, CSGO, Tropico 4, ARK: Survival Evolved, Assassin’s Creed тощо. Потім сайт відобразить частину ключа гри, для отримання якого доведеться авторизуватися. Як тільки користувач натисне кнопку входу в систему, йому відобразиться підробна сторінка авторизації в обліковий запис Steam (Steam single sign-on), розміщена на сайті шахраїв.

Якщо жертва введе облікові дані, шахраї використовують їх для авторизації в облікового запису Steam користувача. Тоді з’явиться вікно мобільного аутентифікатора Steam Guard і запросить спеціальний код. Таким чином злочинці можуть обійти двофакторну аутентифікацію і отримати повний доступ до екаунту.

За словами дослідників, атака відбувається автоматично. Шахрайський сайт самостійно входить в облікові записи, змінює пароль, прив’язану адресу електронної пошти, а також номер телефону. На наступному етапі кампанії зловмисники будуть використовувати вкрадений обліковий запис для подальшого поширення шахрайства серед друзів жертви і для потенційної крадіжки предметів з інвентарю користувачів у Steam.

У разі крадіжки екаунта дослідники рекомендують звернутися в службу підтримки Steam. Це дозволить повернути вкрадений обліковий запис, однак предмети інвентарю можуть бути втрачені назавжди.

До речі, дослідники з компанії Palo Alto Networks виявили 34 мільйони уразливостей в великих хмарних сервісах. За словами фахівців, проблеми з’явилися не з вини провайдерів, а через додатки, які розгортають клієнти в хмарі.

Нагадаємо, з мобільними додатками для Android можна буде працювати за комп’ютером із Windows або macOS. Так, під час заходу Samsung Unpacked 2019 корейський гігант представив додаток Samsung DeX for PC.

Також компанія Microsoft заблокувала установку оновлень для Windows 7 і Windows Server 2008 R2, підписаних за допомогою сертифіката SHA-2, на пристроях із встановленими антивірусними продуктами Symantec або Norton.

Стало відомо, що встановити шосту бета-версію iOS 13 можуть усі без винятку користувачі, які пройшли реєстрацію у програмі раннього доступу і встановили на свої пристрої активні бета-профілі. Якщо Ви дотрималися цих вимог, то за стабільного Wi-Fi-з’єднання або за допомогою iTunes оновлення буде завантажено на Ваш смартфон.

Окрім цього, більшість мобільних дзвінків у всьому світі здійснюються за стандартом Global System for Mobile Communications. Дослідники виявили недолік стандарту GSM, який дозволяє хакерам слухати Ваші дзвінки.

Microsoft не заперечує, що працівники компанії та підрядні організації можуть прослуховувати аудіозаписи розмов Skype і запити Cortana. Як видалити свою конфіденційну інформацію із серверів Microsft, йдеться у статті.

Зверніть увагу, Android-пристрої можуть постачатися із вбудованим шкідливим ПЗ і бекдорами через недостатній контроль виробників і постачальників.

Дослідник Педро Кабрера (Pedro Cabrera) продемонстрував на конференції Defcon наскільки уразливі для зламу сучасні Smart TV, що використовують підключений до Інтернету стандарт HbbTV.

Дослідники з Netflix і Google виявили низку багів у кількох реалізаціях протоколу HTTP/2. Експлуатація яких дозволяє зловмисникам викликати відмову в обслуговуванні на не оновлених серверах. Згідно зі статистикою, це 40% від усіх web-сайтів в Інтернеті.

.

Ця стаття Шахраї викрадають Ваші облікові записи Steam, а через них і Ваших друзів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Незалежний дослідник Василь Кравець виклав інформацію про вразливість “нульового дня”, що впливає на клієнт гри Steam для Windows після того, як Valve сказала, що не буде виправляти вразливість. Потім Valve таки випустила патч, але дослідник сказав, що його можна обійти.

Про це повідомляє Threatpost.

Помилка “нульового дня” – це вразливість до ескалації привілеїв, яка може дозволити зловмиснику запустити будь-яку програму з максимально можливими правами на будь-якому комп’ютері Windows із встановленим клієнтом Steam. Таку думку висловив Василь Кравець (a.k.a. Felix).

Зважаючи на те, що Steam стверджує, що у її системі зареєстровано понад мільярд зареєстрованих користувачів у всьому світі (і 90 мільйонів активних користувачів, які підписалися на такі ігри, як Assassin’s Creed, Grand Theft Auto V і Warhammer),  масштаби атак потенційно є величезними. Однак власник Steam, Valve, заявила, що вразливість “не використовується в реальності” після того, як Кравець сповістив про неї через платформу HackerOne.

Уразливість існує в службі клієнтів Steam, яка працює на комп’ютерах Windows із системними привілеями. Дослідник виявив, що можна використовувати символьні посилання (тобто символьні посилання, які виступають як ярлики між одним файлом або каталогом до іншого), щоб змусити комп’ютер запустити службу або виконувану програму з повними правами.

По-перше, Кравець виявив, що сервіс Steam може запускати та зупиняти кожен, хто користується комп’ютером (тобто тим, хто має привілеї “користувача”) – і коли це станеться, користувачеві надається список ключів другого рівня під “HKLM\Software\Wow6432Node\Valve\Steam\Apps”.

Потім він хотів перевірити, чи можна взяти під контроль підрозділ під HKLM\Software\Wow6432Node\Valve\Steam\Apps, який пропонує обмежені права доступу, використовуючи посилання для вказівки на захищений ключ реєстру з повними дозволами, а потім перезапустіть службу на отримати доступ до захищеного ключа реєстру.

Використовуючи той самий процес, він виявив, що йому вдалося запустити Windows Installer з адміністративними привілеями та встановити код. Таким чином, виявлена ним картина може показати приблизний напрям використання експлойта, який дозволяє запускати будь-який виконуваний файл з максимально можливими правами на будь-якому комп’ютері Windows із встановленою Steam.

Щодо оскарження компанією Valve серйозності помилки Кравець наголосив, що можна використати певне програмне забезпечення, щоб скористатися проблемою, що значно розширить небезпеку недоліків. Він написав:

“Насправді Steam дозволяє надати високі привілеї для кожної програми, яку ви запускаєте. Досить іронічно, що лончер, який фактично призначений для запуску сторонніх програм на вашому комп’ютері, дозволяє їм мовчки отримати максимум привілеїв. Ви впевнені, що безкоштовна гра невідомого розробника поводитиметься чесно? Чи вірите ви, що за знижкою 90 відсотків ви не отримаєте прихований майнер криптовалюти?… Високі права шкідливих програм можуть значно збільшити ризики – програми можуть відключити антивірус, використовувати глибокі та темні місця, щоб приховати та змінити майже будь-який файл будь-якого користувача, навіть красти приватні дані”

До речі, Apple запустила свою віртуальну кредитну карту у співпраці з банком Goldman Sachs Group Inc.

Нагадаємо, компанії Microsoft і Samsung оголосили про співпрацю, в рамках якої планують разом інвестувати у справу розширення можливостей приватних клієнтів і організацій.

Також фахівці компанії Avast виявили дивного шкідника Clipsa, який не тільки краде криптовалюту, підміняє адреси гаманців у буфері користувачів і встановлює майнери на заражені машини, але і запускає на скомпрометованих хостах брутфорс-атаки проти WordPress-сайтів.

Стало відомо, що в п’ятницю, 9 серпня, на конференції для розробників генеральний директор споживчого напрямки Huawei Річард Юй (Richard Yu) здивував аудиторію, презентувавши “HarmonyOS”, яка, за його словами, є більш швидкою і безпечною системою, ніж Android.

Компанії Microsoft і Samsung оголосили про співпрацю, в рамках якої планують разом інвестувати у справу розширення можливостей приватних клієнтів і організацій.

Ця стаття Помилка “нульового дня” знайдена в клієнті Steam раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Дослідники з Malwarebytes Labs попередили користувачів платформи Steam про нову фішингову кампанію, під час якої зловмисники виманюють у жертв облікові дані нібито в обмін на безкоштовні ключі активації для ігор.

За словами дослідників, кіберзлочинці заманюють користувачів на фішингові web-сайти за допомогою проміжного перенаправлення домену. Жертві приходить повідомлення від одного з Steam із запрошенням отримати безкоштовну гру за скороченим посиланням. URL-адреса скорочена з використанням t.co – сервісу скорочення посилань Twitter. Після натискання на посилання користувач потрапляє на проміжний домен steamredirect[dot]fun, який переадресовує його вже на кінцеву фішингову сторінку, що видається зловмисниками за сайт із безкоштовними іграми.

На сайті є розділ “Try your luck” – гра в рулетку, нібито дозволяє виграти безкоштовну гру, лише натиснувши на кнопку “Play”. Після натискання на кнопку з’являється повідомлення про те, що у користувача є тільки 30 хвилин на затребування свого безкоштовного ключа, і він повинен авторизуватися в Steam через цей сайт. Натиснувши на “Login via Steam”, користувач бачить знайому форму авторизації. Проте, введені в неї облікові дані не пускають користувача в його обліковий запис, а відправляються до рук кіберзлочинців.

За даними дослідників, кампанія почалася в березні нинішнього року і досі триває.

Окрім цього, компанія ESET виявила шкідливе ПЗ для Android, здатне обходити механізм двофакторної аутентифікації без доступу до SMS-повідомлень.

До речі, додатки для Android з критично небезпечними уразливостями зустрічаються дещо частіше, ніж програми для iOS (43% проти 38%). Однак ця різниця несуттєва, вважають експерти, і загальний рівень захищеності клієнтських частин мобільних додатків для обох платформ приблизно однаковий.

Нагадаємо, в офіційному магазині додатків для Windows фахівці виявили безліч платних додатків, які насправді є продуктами з відкритим вихідним кодом, які можна поширювати тільки безкоштовно.

Також дослідники попереджають про реєстрацію реальних атак з експлуатації уразливості нульового дня у браузері Mozilla Firefox. Користувачі повинні якомога швидше оновитися до версії 67.0.3 або 60.7.1.

Ця стаття Користувачів платформи Steam атакують фішингові шахраї раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин