雷鋒網(wǎng)2月22日消息，康涅狄格州West Haven大學安全研究小組發(fā)現(xiàn)VR社交平臺Bigscreen存在嚴重安全漏洞。該漏洞允許攻擊者在未獲得玩家權限的情況下進入其虛擬現(xiàn)實空間，進而提升了系統(tǒng)被嵌入惡意程序的幾率。

雷鋒網(wǎng)了解到，《Bigscreen》是一款VR應用軟件，其功能是讓世界各地的玩家可以在虛擬的VR空間內共同欣賞游戲、電影以及會議聊天等內容。該應用于2016年4月在Steam上線，主要適配機型為Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR頭顯。

在該研究團隊發(fā)表的一篇博客論文中，對于Bigscreen易受攻擊的類型進行了分析。文章中提到，攻擊者能夠激活Bigscreen用戶遠程麥克風，監(jiān)聽其私人對話、查看用戶的桌面屏幕，下載并安裝惡意軟件，甚至從他們的個人賬戶發(fā)送消息、傳播電腦蠕蟲病毒等。

以下是該研究小組提供的完整漏洞列表:

1、開啟麥克風，監(jiān)聽私人談話；

2、加入任何VR空間，其中也包括私密VR空間；

3、創(chuàng)建可復制的蠕蟲病毒，其他玩家進入該用戶VR空間時會被感染；

4、實時查看用戶電腦屏幕；

5、代替用戶發(fā)送消息；

6、在用戶電腦上下載惡意軟件并運行任意程序；

“從研究結果來看，攻擊者可以以十分隱蔽的狀態(tài)在一旁監(jiān)聽用戶的談話，甚至可以記錄他們是如何在VR空間中與其他人實現(xiàn)互動的?！盉aggili稱：“對于用戶來說，在VR空間中無法通過看或聽來判斷另一個人是否存在，但攻擊者很有可能就在你的身邊明目張膽地‘偷窺’著你?！?br/>

在VR空間中處于隱蔽狀態(tài)，也被稱為MITR攻擊（Man-In-The-Room），這是一種基于VR程序的新型攻擊手段。MITR會強制以“第二名玩家”的身份登錄用戶服務器，同時自動調取“隱形頭像”這一功能。此外，該團隊在研究中還發(fā)現(xiàn)了來自Unity的幾個漏洞，這也有可能在Bigscreen中被顯現(xiàn)出來。

發(fā)現(xiàn)漏洞之后，該研究小組第一時間向Bigscreen運營商和Uniity公司發(fā)送了報告。同時，他們也在網(wǎng)絡上發(fā)布了安全警告，其中包括Oculus Rift和HTC Vive兩大PC VR平臺。2月14日，Bigscreen和Unity分別發(fā)布了安全補丁和安全警告解決了上述問題。

文章來自：VRscout

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉載。詳情見轉載須知。