為應對最近爆發的惡意更新，著名游戲平臺Steam出品方Valve近日發布公告稱，將為Steam 上發布游戲的開發者實施額外的安全措施，包括基于短信的確認碼。

游戲及軟件開發商在 Steam 平臺上分發其產品需要用到Steamworks，它支持DRM（數字版權管理）、多人游戲、視頻流、配對、成就系統、游戲內語音和聊天、微交易、統計、云保存和社區制作內容共享（Steam Workshop）。但從今年8月下旬開始，有關 Steamworks 帳戶遭到入侵以及攻擊者上傳惡意版本、利用惡意軟件感染玩家的報告數量不斷增加。

為了遏制該問題，Valve 將從 2023 年 10 月 24 日開始強制實施基于短信的安全檢查，游戲開發人員必須通過該檢查才能在默認發行分支（非測試版本）上推送更新。

對于將新用戶添加到 Steamworks 合作伙伴組（該組已受到基于電子郵件的確認保護）時，將強制執行相同的要求。從 10 月 24 日開始，群組管理員必須使用短信代碼驗證操作。對于那些使用 SetAppBuildLive API 的用戶，Steam 已將其更新為需要 steamID 進行確認，特別是對于已發布應用程序默認分支的更改。

Valve 表示，如果開發者沒有電話號碼，將無法新發布或者更新應用。

并不完美的解決方案

雖然引入基于短信的驗證是為Steam實現了更好的供應鏈安全，但該系統仍存在一些問題。游戲開發者伯努瓦·弗雷斯隆 (Beno?t Freslon)稱，他的賬戶感染了一種信息竊取惡意軟件，該惡意軟件被用來竊取他的憑證，發布了《NanoWar：細胞 VS 病毒》游戲的惡意更新，而Valve 基于短信的雙重驗證安全措施無助于阻止攻擊，因為信息竊取惡意軟件搶走了他賬戶的所有權限。

此外，基于短信的雙重驗證本質上容易受到 SIM 交換攻擊，攻擊者可以將游戲開發者的號碼轉移到新的 SIM 上并繞過安全措施。