Nichts fürchten Gamer mehr als den Tod. Der Verlust der virtuellen Spielfigur bedeutet Niederlage, Enttäuschung, Erniedrigung. Und schlimmstenfalls auch noch die Installation von Schadsoftware auf dem eigenen Computer. Dieses Angriffsszenario hat der Sicherheitsforscher Justin Taft von One Up Security nun vorgestellt.

Taft hat eine Sicherheitslücke in der Source-Engine des Spieleentwicklers Valve ausgenutzt. Diese wird von einigen beliebten Multiplayerspielen wie  Team Fortress 2, Counter-Strike: Global Offensive oder Left 4 Dead 2 benutzt. Taft gelang es, Schadsoftware auf den Rechnern von Mitspielern zu installieren. Und zwar genau in dem Moment, in dem sie von ihm abgeschossen wurden – bei Tod Trojaner, sozusagen.

Der Sicherheitsforscher nutzte dafür die sogenannten custom maps. Dabei handelt es sich nicht um offizielle, sondern von anderen Spielern erstellte Karten. Diese können zusätzliche, nichtoffizielle Grafiken, Sounds oder Animationen enthalten, die von den Spielern beim Starten der map geladen werden. Bei Counter-Strike und Team Fortress gibt es diese custom maps praktisch schon immer, sie sind Teil einer lebendigen Community und durchaus beliebt.

Taft hat – nur zu Testzwecken – in eine von ihm erstellte Karte eine Animation für sterbende Spielfiguren hinzugefügt. Wird ein Spieler während einer Partie abgeschossen, wird nicht nur die Animation aufgerufen, sondern gleichzeitig auch ein schadhafter Code, über den sich Trojaner oder Ransomware auf dem Computer der Spieler installieren lassen. Ein Angreifer könnte somit Zugriff auf die Festplatte erhalten oder weitere Schadsoftware nachladen.

Games sind ein attraktives Ziel für Hacker

Der Spieleentwickler Valve hat die Sicherheitslücke bestätigt und sie in den betroffenen Games bereits im vergangenen Monat gestopft. Weiterhin gefährdet sind allerdings Anbieter von Modifikationen auf Basis der Source-Engine, die nicht an die offiziellen Server angebunden sind. Für sie stellt Taft auf seiner Website einen Patch bereit. Spieler selbst können sich noch einfacher schützen, indem sie einfach das Herunterladen von Drittinhalten untersagen.

Das hier vorgestellte Szenario ist einerseits speziell. Andererseits zeigt es, dass auch Videospiele nicht vor Hackerangriffen geschützt sind. "Games sind ein interessantes Ziel für Angriffe, sowohl technisch als auch logistisch", schreibt Taft in seinem Beitrag. Sie könnten ein Einfallstor für Schadsoftware sein, nicht nur auf Privatrechnern, sondern auch in ganzen Netzwerken. Etwa wenn ein Gaming-PC im Pausenraum an ein Firmennetzwerk angeschlossen sei.

Tatsächlich haben Hacker schon länger das Potenzial von Games für ihre Zwecke erkannt. Bereits vor drei Jahren warnte das Sicherheitsunternehmen Eset in einem Bericht zur Spielemesse Gamescom vor möglichen Angriffsszenarien. Dazu gehörten Software von Drittanbietern, die Login-Daten von Diensten wie Steam abgreift, aber auch gehackte Updateserver von Rollenspielen sowie klassische Sicherheitslücken in den Spielen selbst.