« Tüm yayınlar

Kernel Seviyeli Hile Önleme Sistemleri Güvenlik Riski mi?

Riot, EA, Epic gibi devlerin kullandığı ring-0 anti-hile sürücüleri; sahiplik yapıları, veri toplama pratikleri ve güvenlik açıkları mercek altında.

Büyük oyun şirketlerinin kullandığı kernel seviyeli (ring-0) anti-hile sürücüleri, Windows çekirdeğiyle aynı yetki seviyesinde çalışarak bellek, dosya sistemi ve donanıma tam erişim sağlıyor. Bu sürücüler kapalı kaynak olduğundan bağımsız denetim mümkün değil. Sahiplik zincirleri incelendiğinde Vanguard'ın (Riot) Tencent'e, FACEIT'in ve müzakere aşamasındaki EA satın alımının Suudi Arabistan'ın egemen varlık fonu PIF'e uzandığı görülüyor. Bu durum, Çin'in İstihbarat Yasası ve Suudi Arabistan'ın geçmişte Twitter çalışanlarını casusluk için kullanma girişimi gibi devlet müdahalesi emsalleri nedeniyle endişe yaratıyor.

Bağımsız araştırmalar (ARES 2024), bu sürücülerin sistem genelinde veri topladığını ve bazılarının rootkit benzeri davranışlar sergilediğini ortaya koyuyor. EAC gibi sistemler sürekli donanım kimliği oluşturup gönderirken, Vanguard ve FACEIT kendilerini diğer süreçlerden gizleyebiliyor. Ayrıca bu sürücüler saldırı yüzeyi oluşturuyor: Genshin Impact'in anti-hile sürücüsü fidye yazılımı tarafından antivirüs devre dışı bırakmak için kötüye kullanılmış, EAC'de yakın zamanda CVE atanan bir yetki yükseltme açığı bulunmuştu.

Buna rağmen hile engellenmiş değil; hileciler kernel katmanının altına, harici donanımlara kaydı. Microsoft ise 2024'teki CrowdStrike kesintisinin ardından güvenlik yazılımlarını kernel dışına taşımaya başladı ve üçüncü taraf kernel erişimini kısıtlayabileceğini belirtti. Mühendisler için bu durum, performans ve güvenlik arasındaki dengeyi, tedarik zinciri risklerini ve kapalı kaynak sistemlere duyulan güveni yeniden sorgulamayı gerektiriyor.