Ученые обнаружили дыры в безопасности VR приложения Bigscreen и движка Unity

По словам исследователей из Университета Нью-Хейвена, штат Коннектикут, популярное приложение для гарнитур виртуальной реальности Bigscreen оказалось весьма восприимчиво к хакерским атакам из-за ряда критических уязвимостей системы безопасности. Дыры в защите давали возможность злоумышленникам выполнять различные инвазивные действия без согласия и даже ведома пользователя.

В команду исследователей вошли Ибрагим Баггили, известный эксперт в области кибербезопасности и цифровой криминалистики, и студенты Питер Кейси и Мартин Вондрачек. В блоге группа перечислила немалый перечень того, что позволяет делать уязвимость системы, от подслушивания частных разговоров до загрузки и установки вредоносного программного обеспечения.

Согласно полному списку уязвимостей, представленных исследовательской группой, злоумышленник может:

• Включать пользовательские микрофоны и слушать личные разговоры.
• Присоединяться к любой VR комнате, включая частные комнаты.
• Создавать реплицирующегося червя, который заражает пользователей, как только они входят в комнату с другими VR пользователями.
• Просматривать рабочий стол компьютера пользователя в режиме реального времени.
• Отправлять сообщения от имени пользователя.
• Загружать, устанавливать и запускать на компьютерах пользователей программы, включая вредоносное ПО.
• Присоединяться к пользователям в виртуальной реальности, оставаясь невидимым. Эта новая атака была названа «Man-In-The-Room»(человек в комнате).
• Обмануть пользователей и заставить их загрузить поддельные VR драйверы.

«Наше исследование показывает, что хакеры могут мониторить людей изо дня в день, слушать, о чем они говорят, и видеть, как они взаимодействуют в виртуальной реальности», − сказал Ибрагим Баггили. «Они вас не видят и не слышат, но хакер может наблюдать и прослушивать их, как невидимый вуайерист. Это нарушение совершенно нового уровня конфиденциальности».

Команда назвала атаку «Man-In-The-Room», ссылаясь на способность тайно присоединяться к серверу пользователей и просматривать их виртуальное общение, будучи невидимым аватаром.

Исследователи также утверждают, что в ходе расследования обнаружили несколько недостатков безопасности в популярном игровом движке Unity, на котором было разработано приложение Bigscreen. Более полное описание их результатов можно найти здесь.

14 февраля исследовательская группа представила свои выводы Bigscreen и Unity. Те в свою очередь предупредили пользователей и внесли исправления, чтобы залатать дыру в безопасности.

Этот коллектив из Коннектикута ранее уже обнаруживал недостатки в других VR платформах, таких как Oculus Rift и HTC Vive. Исследователи еще не подтвердили, были ли проблемы официально устранены.

Эти проблемы безопасности подчеркивают потенциальную опасность вторжения в частную жизнь. VR технология продолжает охватывать всё больше потребителей, поэтому вопросы конфиденциальности становятся чрезвычайно остро. Мы уже не раз обсуждали: типы данных о пользователе, которые можно получить посредством VR устройств; то, как гиганты виртуальной реальности собираются использовать и защищать нашу персональную информацию; и какие шаги предпринимаются, чтобы урегулировать вопрос конфиденциальности в виртуальной реальности.

Вас уже сейчас беспокоит мысль о незнакомце, который способен получить удаленный доступ к вашему рабочему столу? А представьте себе тот уровень паранойи, который разовьётся у пользователей, когда мы начнем «жить» в этих цифровых пространствах.