Hacker-Gefahr

Blizzard stopft endlich Sicherheitslücke, die 500 Millionen Spieler bedrohte

Overwatch
Der Blizzard Launcher, auf dem Spiele wie „Overwatch“ laufen, waren von einer schweren Sicherheitslücke bedroht.
Foto: Blizzard

500 Millionen PC-Spieler starten ihre Blizzard-Spiele über den Launcher. Mit der Sicherheits-Lücke hätten Hacker ihn nutzen können, um Schadcodes zu übertragen. Nun hat Blizzard reagiert.

Das amerikanische Spiele-Unternehmen Blizzard hat kürzlich eine Sicherheitslücke in ihrem System geschlossen, die anfällig für Hackerangriffe gewesen war. Noch ist unklar, ob bereits Angriffe stattgefunden haben.

Die Lücke betraf den Blizzard Launcher, die PC-Plattform, über die alle Blizzard-Spiele laufen, unter anderem beliebte Spiele wie „World of Warcraft“, „Overwatch“ und „Diablo III“. Dabei handelte es sich sogar um eine Schwachstelle, die Hacker sehr leicht hätten nutzen können.

YouTuber verliert Tausende Euro mit FIFA-Lootboxen

Google-Mitarbeiter entdeckte Lücke

Die Lücke hat Google-Mitarbeiter Tavis Ormandy entdeckt, der das Unternehmen bereits im Dezember 2017 darauf aufmerksam machte. Am Montag dieser Woche wiederholte er via Twitter seine Warnung, nachdem Blizzard die Kommunikation plötzlich mit ihm abgebrochen hat. „Alle-Blizzard Spiele wären gegenüber DNS Rebinding verwundbar“, schrieb er. In seinem Bericht auf Cromium Bug Tracker hält er das genaue Problem fest.

Warum das möglich ist, liegt an der Funktionsweise des Launchers. Er verfügt über ein Update-Programm, das regelmäßig Inhalte installiert und verwaltet, beispielsweise Patches für Spiele. Für diese Verwaltung erhält er Befehle von Blizzard-autorisierten Websites. Die Gefahr bestand darin, dass ein Hacker mit einer gefälschten Autorisierung eigene Befehle hätte diktieren können, beispielsweise Schadcodes auf die Computer der Spieler übertragen.

Nintendo Labo: So machen Sie die Switch zum Pappspielzeug!

Der Begriff „DNS Rebinding“ meint hierbei den Vorgang der Fälschung, indem der Hacker eine Domain mit einem gekaperten DNS-Server namentlich so anpasst, dass der Launcher ihn für Blizzard hält. Nachdem Blizzard der Lücke mit einer unzureichenden Black List entgegenwirken wollte, arbeitet das Unternehmen jetzt mit Ormandy an einer effizienteren White List. Die Black List sollte dem Launcher alle potenziell gefährlichen Browser auflisten, was aber ein nicht aufgenommener Browser hätte einfach umgehen können. Stattdessen wird die geplante White List nur alle autorisierten Browser enthalten.

Themen