Video Games as an Attack Vector

Abstract

Inhalt dieser Arbeit sind Cyberangriffe auf Verbrauchersysteme, die sich Schwachstellen in Videospielen und deren Infrastruktur zunutze machen. Während zahlreiche andere Aspekte der Cybersicherheit in wissenschaftlichen Arbeiten thematisiert werden, ist dieses Szenario - Videospiele als Einfallstor für bösartige Akteure - auffallend wenig behandelt. Das ist umso verwunderlicher, als die Videospielindustrie eine der schnellstwachsenden der letzten zehn Jahre darstellt. Ausgangspunkt des vorliegenden Werks ist die Vermutung, daß gründliches Studium der Sicherheitsmechanismen und -schwächen von Spielen deren Signifikanz für die Sicherheit des zugrundeliegenden Systems in ein klareres Licht zu rücken vermag. Zunächst zeige ich mögliche Angriffsszenarien anhand von Beispielen auf und fasse sie schließlich zu einem Überblick der potenziellen, durch Spielesoftware bedingten Angriffsfläche zusammen. Hierbei wähle ich eine holistische Herangehensweise: neben der Kernkomponente Engine behandle ich in einem sich sukzessive erweiternden Blickwinkel auch essenzielle Infrastrukturelemente. Diese beinhalten Vertriebsplatformen und Entwickler, das Cheat- und Crack-Ökosystem findet ebenso Erwähnung wie die Modding-Szene. Überdies schildere ich ein Bedrohungsmodell, abgeleitet aus der Summe der zuvor aufgezeigten Schwachstellen, und veranschauliche es durch einen Prototypen. Ziel ist, den vorausgehenden theoretischen Beobachtungen durch ein praktisches Beispiel reales Gewicht zu verleihen. Es stellt sich heraus, daß die durch Videospiele verursachte, zusätzliche Angriffsfläche signifikante Größe hat. Die untersuchten Beispiele lassen erkennen, daß Sicherheitslücken in Spielen mehr als die Summe der Schwachstellen ihrer Teile sind; oftmals treten Kombinationseffekte zutage, die separat betrachtet harmlose Komponenten im Zusammenwirken zum Sicherheitsrisiko werden lassen. Auch scheint die Leichtigkeit, mit der sich ein Prototyp, der bösartigerweise Schwachstellen ausnützt, herstellen lässt, bedenklich. Jedenfalls bestätigt diese Arbeit die Ausgangsvermutung: Videospiele stellen ein zu beachtendes Sicherheitsrisiko für Verbrauchersysteme dar und sollten dementsprechend in der Sicherheitsforschung figurieren.

This work examines cyber attacks leveraging security flaws in video games installedon consumer systems. While there exist numerous scientific works on other aspects of cybersecurity, this specific scenario - video games as an entry point for malicious actors - seems curiously absent from research. What makes this especially puzzling is the fact that the video game industry is one of the fastest growing markets of the last ten years.The thesis’ premise is the assumption that detailed study of security mechanisms and -flaws of video games might shed much needed light on their significance regarding the underlying system’s integrity.To show this, I first describe possible attack scenarios and give examples for each of them; I then combine them to give an overview of the potential attack surface of video games. To this end I chose a holistic approach: In addition to engines (a game’s core component), the focus is gradually shifted to also contain other elements essential to a game’s infrastructure. These include distribution platforms and developers, cheats and cracks (together with their ecosystems), as well as the modding scene. Further, I formulate a threat model in accordance with the aforementioned vulnerabilities and give a proof of concept. The goal is to utilize this practical example to lend real weight to earlier theoretical findings.The work’s result is that video games add significantly to a system’s attack surface. Given examples show that vulnerabilities in games are more than the sum of their parts’ security flaws; in combining otherwise harmless components, possibilities for exploits present themselves as a result of the interaction between them. Additionally, the ease with which a working prototype for breaching a game’s security can be produced is cause for concern. The initial assumption is confirmed: Video games present a considerable risk to consumer systems and should figure more prominently within the field of security research.