1
| 本文作者: 靈火K | 2019-02-22 14:01 |
雷鋒網(wǎng)2月22日消息,康涅狄格州West Haven大學(xué)安全研究小組發(fā)現(xiàn)VR社交平臺(tái)Bigscreen存在嚴(yán)重安全漏洞。該漏洞允許攻擊者在未獲得玩家權(quán)限的情況下進(jìn)入其虛擬現(xiàn)實(shí)空間,進(jìn)而提升了系統(tǒng)被嵌入惡意程序的幾率。
雷鋒網(wǎng)了解到,《Bigscreen》是一款VR應(yīng)用軟件,其功能是讓世界各地的玩家可以在虛擬的VR空間內(nèi)共同欣賞游戲、電影以及會(huì)議聊天等內(nèi)容。該應(yīng)用于2016年4月在Steam上線,主要適配機(jī)型為Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR頭顯。
在該研究團(tuán)隊(duì)發(fā)表的一篇博客論文中,對(duì)于Bigscreen易受攻擊的類型進(jìn)行了分析。文章中提到,攻擊者能夠激活Bigscreen用戶遠(yuǎn)程麥克風(fēng),監(jiān)聽(tīng)其私人對(duì)話、查看用戶的桌面屏幕,下載并安裝惡意軟件,甚至從他們的個(gè)人賬戶發(fā)送消息、傳播電腦蠕蟲(chóng)病毒等。
以下是該研究小組提供的完整漏洞列表:
1、開(kāi)啟麥克風(fēng),監(jiān)聽(tīng)私人談話;
2、加入任何VR空間,其中也包括私密VR空間;
3、創(chuàng)建可復(fù)制的蠕蟲(chóng)病毒,其他玩家進(jìn)入該用戶VR空間時(shí)會(huì)被感染;
4、實(shí)時(shí)查看用戶電腦屏幕;
5、代替用戶發(fā)送消息;
6、在用戶電腦上下載惡意軟件并運(yùn)行任意程序;
“從研究結(jié)果來(lái)看,攻擊者可以以十分隱蔽的狀態(tài)在一旁監(jiān)聽(tīng)用戶的談話,甚至可以記錄他們是如何在VR空間中與其他人實(shí)現(xiàn)互動(dòng)的。”Baggili稱:“對(duì)于用戶來(lái)說(shuō),在VR空間中無(wú)法通過(guò)看或聽(tīng)來(lái)判斷另一個(gè)人是否存在,但攻擊者很有可能就在你的身邊明目張膽地‘偷窺’著你。”
在VR空間中處于隱蔽狀態(tài),也被稱為MITR攻擊(Man-In-The-Room),這是一種基于VR程序的新型攻擊手段。MITR會(huì)強(qiáng)制以“第二名玩家”的身份登錄用戶服務(wù)器,同時(shí)自動(dòng)調(diào)取“隱形頭像”這一功能。此外,該團(tuán)隊(duì)在研究中還發(fā)現(xiàn)了來(lái)自Unity的幾個(gè)漏洞,這也有可能在Bigscreen中被顯現(xiàn)出來(lái)。
發(fā)現(xiàn)漏洞之后,該研究小組第一時(shí)間向Bigscreen運(yùn)營(yíng)商和Uniity公司發(fā)送了報(bào)告。同時(shí),他們也在網(wǎng)絡(luò)上發(fā)布了安全警告,其中包括Oculus Rift和HTC Vive兩大PC VR平臺(tái)。2月14日,Bigscreen和Unity分別發(fā)布了安全補(bǔ)丁和安全警告解決了上述問(wèn)題。
文章來(lái)自:VRscout
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。
