По словам исследователей из Университета Нью-Хейвена, штат Коннектикут, популярное приложение для гарнитур виртуальной реальности Bigscreen оказалось весьма восприимчиво к хакерским атакам из-за ряда критических уязвимостей системы безопасности. Дыры в защите давали возможность злоумышленникам выполнять различные инвазивные действия без согласия и даже ведома пользователя.
В команду исследователей вошли Ибрагим Баггили, известный эксперт в области кибербезопасности и цифровой криминалистики, и студенты Питер Кейси и Мартин Вондрачек. В блоге группа перечислила немалый перечень того, что позволяет делать уязвимость системы, от подслушивания частных разговоров до загрузки и установки вредоносного программного обеспечения.
Согласно полному списку уязвимостей, представленных исследовательской группой, злоумышленник может:
- Включать пользовательские микрофоны и слушать личные разговоры.
- Присоединяться к любой VR комнате, включая частные комнаты.
- Создавать реплицирующегося червя, который заражает пользователей, как только они входят в комнату с другими VR пользователями.
- Просматривать рабочий стол компьютера пользователя в режиме реального времени.
- Отправлять сообщения от имени пользователя.
- Загружать, устанавливать и запускать на компьютерах пользователей программы, включая вредоносное ПО.
- Присоединяться к пользователям в виртуальной реальности, оставаясь невидимым. Эта новая атака была названа «Man-In-The-Room»(человек в комнате).
- Обмануть пользователей и заставить их загрузить поддельные VR драйверы.
«Наше исследование показывает, что хакеры могут мониторить людей изо дня в день, слушать, о чем они говорят, и видеть, как они взаимодействуют в виртуальной реальности», − сказал Ибрагим Баггили. «Они вас не видят и не слышат, но хакер может наблюдать и прослушивать их, как невидимый вуайерист. Это нарушение совершенно нового уровня конфиденциальности».
Команда назвала атаку «Man-In-The-Room», ссылаясь на способность тайно присоединяться к серверу пользователей и просматривать их виртуальное общение, будучи невидимым аватаром.
Исследователи также утверждают, что в ходе расследования обнаружили несколько недостатков безопасности в популярном игровом движке Unity, на котором было разработано приложение Bigscreen. Более полное описание их результатов можно найти здесь.
14 февраля исследовательская группа представила свои выводы Bigscreen и Unity. Те в свою очередь предупредили пользователей и внесли исправления, чтобы залатать дыру в безопасности.
Этот коллектив из Коннектикута ранее уже обнаруживал недостатки в других VR платформах, таких как Oculus Rift и HTC Vive. Исследователи еще не подтвердили, были ли проблемы официально устранены.
Эти проблемы безопасности подчеркивают потенциальную опасность вторжения в частную жизнь. VR технология продолжает охватывать всё больше потребителей, поэтому вопросы конфиденциальности становятся чрезвычайно остро. Мы уже не раз обсуждали: типы данных о пользователе, которые можно получить посредством VR устройств; то, как гиганты виртуальной реальности собираются использовать и защищать нашу персональную информацию; и какие шаги предпринимаются, чтобы урегулировать вопрос конфиденциальности в виртуальной реальности.
Вас уже сейчас беспокоит мысль о незнакомце, который способен получить удаленный доступ к вашему рабочему столу? А представьте себе тот уровень паранойи, который разовьётся у пользователей, когда мы начнем «жить» в этих цифровых пространствах.
