Исследователь Florian сообщил о проблеме ещё в июне 2019 года. Valve исправила ошибку в нескольких играх на основе Source, но не решила её в CS: GO.
На видео выше показано, как злоумышленник после нажатия стандартного приглашения в игру выполняет на компьютере другую команду - например, включает калькулятор. Другая команда может быть намного опаснее.
«Честно говоря, я очень разочарован, что они просто игнорировали меня большую часть времени», - объясняет Флориан, имея в виду переписку с Valve об ошибке. Сообщение было размещено на сайте HackerOne, популярной платформе, где специалисты по безопасности сообщают о проблемах в обмен на деньги.
Данная методика атаки срабатывает примерно в 80% случаев. Один из вариантов – использование списка друзей зараженного ПК для отправки новых искусственных приглашений.
Florian считает, что Valve работает слишком медленно и не заботится о безопасности и честности в своих играх.