Так главное меню является веб-страницей(!), передаваемой по незащищённому http(!!!).
Сегодня Филип Суфичи опубликовал материал с исследованием PUBG, в ходе которого было установлено, что главное меню подвержено XSS-атаке. Всё дело в отсутствии защиты передаваемых данных от клиента к серверу, поэтому трафик легко подменить. Как отмечает Филип, чтобы использовать эту дыру на компьютере клиента уже должна быть вредоносная программа или через MitM-атаку. И если в первом случае незащищённость главного меню куда меньшая проблема, то во втором в зоне риска находятся те, кто играет через Wi-Fi соединение (вне зависимости от защищённости соединения, в связи с последними новостями об уязвимости в шифровании WPA2) или если соединение потенциально нельзя доверять. Таким образом можно подменить страницу и отправить, например, фейковую форму ввода логина/пароля.
Что более важно, про эту уязвимость знают уже 6 месяцев и её до сих пор не исправили.
Посмотреть на главное меню из браузера можно здесь. В статье также приведён Proof-of-Work этой уязвимости. В теории, защитить от подмены может VPN, шифрующий трафик от и до клиента.
Источник: DTF
