Yhteistyö tietoturvatutkijoiden kanssa
Originin tietoturvapäivitys
Adrian Stone, Senior Director, EA Product Security
10. joulukuuta 2019
Origin-asiakasohjelman päivitetty versio julkaistiin tänään hiljattain havaitun tietoturvahaavoittuvuuden korjaamiseksi. Haavoittuvuus olisi tietyissä olosuhteissa voinut antaa sellaiselle käyttäjälle, jolla on rajoitetut käyttöoikeudet, suuremmat käyttöoikeudet tietokoneisiin, joissa Origin on asennettuna.
Origin-asiakasohjelman päivitys on jo julkaistu, ja sen voi myös ladata täältä. Tutkittuamme asiaa ja päivitystä kehittäessämme emme havainneet, että haavoittuvuutta olisi käytetty hyväksi.
Tieto haavoittuvuudesta päätyi meille alun perin haavoittuvuusilmoitustyökalumme kautta. Haluammekin kiittää Vasily Kravetzia AMonitoringilta sekä Matt Nelsonia tiiviistä yhteistyöstä kanssamme tutkimusten ja korjauksen kehityksen aikana.
Julkaisimme turvallisuustiedotteen, jossa on lisätietoja haavoittuvuudesta, sekä tukiartikkelin, jossa kerrotaan tarkemmin päivityksestä.
Kyseessä on hyvin spesifi ongelma, jonka vaikutuksia olemme nähneet muilla pelialan osa-alueilla. Sen vuoksi ajattelimme, että voisi olla hyvä jakaa hieman ongelman taustatietoja.
Monet Originia käyttävistä PC-pelaajistamme rakentavat pelitietokoneensa itse tai käyttävät tehokkaita pelikannettavia, joten Origin-asiakasohjelma luotiin alun perin olettaen, että kaikilla käyttäjillä olisi täydet järjestelmäoikeudet tietokoneisiinsa. Sittemmin alan käytännöt ovat muuttuneet. Nykyään monet, myös useat pelaajamme, käyttävät tietokoneitaan "rajoitetuilla" käyttöoikeuksilla. Jotkut myös luovat rajoitetun käyttöoikeuden tilejä muille samaa järjestelmää käyttäville. Tämä käytäntö, jota kutsutaan tietoturvapiireissä "vähimpien oikeuksien periaatteeksi", auttaa rajoittamaan potentiaalisten tietoturvaongelmien vaikutuksia, jos ongelmia ilmenee. Käyttöjärjestelmien julkaisijat ovat viime aikoina havainneet tämän kehityksen ja niiden pohjalta muuttaneet käyttöjärjestelmiä.
Jotta mahdollinen hyökkääjä olisi voinut hyödyntää tätä haavoittuvuutta, hänen olisi pitänyt kirjautua tietokoneelle olemassa olevalla käyttäjätilillä, jolla ei ole järjestelmänvalvojan oikeuksia. Sen jälkeen hyökkääjän olisi pitänyt asentaa eräs erityinen ohjelma tai suorittaa koodi, joka muokkaa ohjelmiston osaa antaen hyökkääjälle laajemmat käyttöoikeudet.
Valtaosalla nykyisistä Origin-käyttäjistä on jo järjestelmänvalvojan käyttöoikeudet, ja he ovat tietokoneidensa ainoita käyttäjiä. (Niiden käyttäjien määrä, joilla ei ole järjestelmänvalvojan oikeuksia, on alle 5 % koko Originin käyttäjäkannasta.) Tämä tekee haavoittuvuuden hyödyntämisestä epätodennäköistä useimpien käyttäjien osalta, koska se ei anna heille lisäkäyttöoikeuksia.
Ongelma on esiintynyt vain pienellä osalla pelaajista, jotka käyttävät Origin-asiakasohjelmaa, mutta koska suhtaudumme vakavasti jokaisen käyttäjän turvallisuuteen, olemme päättäneet tarttua ongelmaan tämän päivän päivityksessä esittelemällä uuden Rajoitetun käytön tilan. Olemme myös sitoutuneita jatkossa parantamaan lähestymistapaamme vähimpien oikeuksien periaatteeseen Originissa ja Rajoitetun käytön tilassa saamiemme tietojen perusteella. Tällaiset positiiviset kokemukset tietoturvatutkimusyhteisön ja pelijulkaisijoiden yhteistoiminnasta nostavat turvallisuuden rimaa kaikille.