Ein mutmaßlicher Hacker-Exploit erlaubt in Dune: Awakening offenbar den vollständigen Zugriff auf fremde Basen und deren Inventare. Berichte über gelöschte Gegenstände und Basen häufen sich, während Spieler Parallelen zu früheren Funcom-Titeln ziehen und die technische Architektur des Spiels hinterfragen.
Fundamentale Sicherheitslücke in Dune: Awakening aufgedeckt?
In den öffentlichen Foren und auf den Discord-Servern zu Dune: Awakening mehren sich Berichte über massive Item-Verluste und vollständig verschwundene Basen. Die Ursachen scheinen über übliche Bugs bei einem Spielstart hinauszugehen und deuten auf eine schwerwiegende Sicherheitslücke in der Spielarchitektur hin. Diese Schwachstelle wird mutmaßlich bereits aktiv von Dritten ausgenutzt, um sich unrechtmäßig Zugriff auf die Besitztümer anderer Spieler zu verschaffen.
Kurz & Knapp: Die aktuelle Problematik
- Umfassende Verluste: Spieler melden den Verlust von hochstufiger Ausrüstung, seltenen Ressourcen und kompletten Basen.
- Vermutete Hauptursache: Ein Exploit, bekannt als "ID-Spoofing", scheint die Berechtigungssysteme des Spiels auszuhebeln.
- Technischer Hintergrund: Eine zu starke Abhängigkeit von client-seitiger Validierung wird als wahrscheinliche Ursache der Schwachstelle angesehen.
- Historischer Kontext: Spieler verweisen auf ähnliche, langanhaltende Sicherheitsprobleme in Funcoms früherem Titel Conan Exiles.
- Lösungsansätze: Betroffene Spieler nutzen Notlösungen wie die Einlagerung in Stadt-Banken oder wechseln auf private Server.
Umfang und Art der gemeldeten Verluste
Die dokumentierten Verluste sind beträchtlich und umfassen nahezu alle Arten wertvoller Gegenstände im Spiel. Dazu gehören große Mengen Spice Melange, hochstufige Baupläne (Tier 5 und 6), seltene Ausrüstung wie der Kyne's Cutter Mk 6, Fahrzeuge und ganze Lagerbestände an End-Game-Materialien. Die Vorfälle sind nicht auf PvP-Zonen beschränkt, sondern treten auch in den als sicher geltenden PvE-Gebieten wie dem Hagga-Becken auf. Gegenstände und Basen verschwinden Berichten zufolge nach dem Einloggen, nach Sandstürmen oder während des Reisens zwischen verschiedenen Zonen.
Technische Analyse: ID-Spoofing und client-seitige Validierung
Während einige Vorfälle auf Persistenz-Bugs zurückzuführen sein könnten, deutet das Muster der gezielten und vollständigen Ausräumung von Basen auf einen Exploit hin. In der Community hat sich die technische Analyse auf das sogenannte ID-Spoofing verdichtet.
Hierbei wird vermutet, dass es Dritten möglich ist, ihre eigene Charakter-ID serverseitig mit der ID des Basisbesitzers zu überschreiben. Infolgedessen würde der Server den Angreifer als legitimen Eigentümer erkennen und ihm volle Zugriffs- und Bearbeitungsrechte gewähren. Sicherheitsvorkehrungen wie Pentashields oder Türberechtigungen wären damit wirkungslos.
Als wahrscheinliche Ursache für eine solche Schwachstelle gilt eine zu starke Abhängigkeit von client-seitiger Validierung. Das System vertraut hierbei den vom PC des Spielers (Client) gesendeten Informationen, anstatt kritische Aktionen, wie den Zugriff auf eine Kiste, unabhängig auf dem Server zu verifizieren. Eine solche Architektur ist anfällig für Manipulationen.
Parallelen zu Conan Exiles und die Rolle von BattlEye
Für Spieler, die mit dem Portfolio von Funcom vertraut sind, weckt die Situation Erinnerungen an Conan Exiles. Auch dort gab es über Jahre hinweg Berichte über ähnliche Exploits, die auf grundlegenden Schwachstellen in der Server-Client-Kommunikation beruhten. Diese Parallelen führen zu Bedenken hinsichtlich der Komplexität und des Zeitaufwands, der für eine Behebung des Problems in Dune: Awakening notwendig sein könnte.
Das implementierte BattlEye Anti-Cheat-System kann gegen eine solche Art von Exploit nur wenig ausrichten. Dessen Aufgabe ist primär die Überwachung des Spiel-Clients auf dem PC des Nutzers. Es kann jedoch serverseitige Logikfehler, die durch manipulierte, aber legitim erscheinende Anfragen ausgenutzt werden, nicht verhindern.
Reaktionen und Lösungsansätze der Spieler
Als Reaktion auf die Vorfälle und die bisher ausgebliebene, spezifische Kommunikation seitens Funcom zu diesem Exploit, haben Spieler begonnen, eigene Schutzmaßnahmen zu ergreifen. Zu den häufigsten Strategien zählen:
- Die Einlagerung der wertvollsten Gegenstände in den Banken der Hauptstädte, deren Lagerplatz jedoch begrenzt ist.
- Der Wechsel von öffentlichen auf passwortgeschützte, private Server, um den Kontakt mit potenziellen Angreifern zu vermeiden.
- Das Pausieren des Spiels, bis eine offizielle Lösung kommuniziert und implementiert wird.
In den Steam-Foren wird zudem darüber diskutiert, ob negative Bewertungen als legitimes Mittel zur Erzeugung von Handlungsdruck auf den Entwickler zu werten sind.
Fazit
Die gemeldeten Probleme, insbesondere der mutmaßliche ID-Spoofing-Exploit, deuten auf eine technische Herausforderung hin, die über einfache Hotfixes hinauszugehen scheint. Sie betrifft das Fundament der Spielsicherheit und die Integrität des Besitzes, ein Kernprinzip von Survival-Spielen.
Eine nachhaltige Lösung erfordert voraussichtlich eine tiefgreifende Überarbeitung der relevanten Backend-Systeme. Die Wiederherstellung des Vertrauens in die technische Integrität des Spiels wird für Funcom von einer transparenten Kommunikation und einer nachweislich robusten Lösung abhängen.