Surpresa: se você joga Counter Strike, você pode ter seu computador infectado e invadido por um cibercriminoso apenas por utilizar o game, segundo um pesquisador da empresa One Up Security. Isso poderia ser feito pelo meio da injeção de código malicioso dentro de assets personalizados dentro de mapas criados pelos jogadores.

Segundo o pesquisador, a vulnerabilidade está presente, na verdade, não no jogo, mas no motor gráfico Source, usado em games da Valve como Counter Strike: Global Offensive, Team Fortress 2, Portal 2 e Left 4 Dead 2. A empresa foi alertada da brecha e lançou pacotes de correções para seus games em junho.

Segundo o relatório de segurança assinado por Justin Taft, o método de ataque é extremamente discreto e sutil. Basta criar o seu mapa de jogo, como é permitido em vários dos jogos que usam a Source, infectar um item específico do gameplay e convidar jogadores a participar de uma inocente partida.

No caso específico demonstrado pelo especialista, foi modificado o asset de “ragdoll”, que determina a física e a movimentação dos personagens quando eles morrem. Assim, como se não bastasse a frustração de morrer no jogo, o jogador também precisaria enfrentar a infecção do seu computador quando ver o ragdoll ativado ao ver seu personagem morrer.

O especialista aponta que o método de ataque poderia se tornar um grande risco. “Conforme videogames se tornam mais comuns em salas de descanso e casas de empregados, a exploração de uma vulnerabilidade poderia ser usada para atingir um alvo que permitisse a invasão de uma rede desconectada da internet. Além disso, descobrir uma vulnerabilidade de execução remota de código em um jogo popular poderia ser usado para criar uma botnet ou espalhar ransomware rapidamente.”