雷鋒網(wǎng)2月22日消息，康涅狄格州West Haven大學(xué)安全研究小組發(fā)現(xiàn)VR社交平臺Bigscreen存在嚴(yán)重安全漏洞。該漏洞允許攻擊者在未獲得玩家權(quán)限的情況下進(jìn)入其虛擬現(xiàn)實空間，進(jìn)而提升了系統(tǒng)被嵌入惡意程序的幾率。

雷鋒網(wǎng)了解到，《Bigscreen》是一款VR應(yīng)用軟件，其功能是讓世界各地的玩家可以在虛擬的VR空間內(nèi)共同欣賞游戲、電影以及會議聊天等內(nèi)容。該應(yīng)用于2016年4月在Steam上線，主要適配機(jī)型為Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR頭顯。

在該研究團(tuán)隊發(fā)表的一篇博客論文中，對于Bigscreen易受攻擊的類型進(jìn)行了分析。文章中提到，攻擊者能夠激活Bigscreen用戶遠(yuǎn)程麥克風(fēng)，監(jiān)聽其私人對話、查看用戶的桌面屏幕，下載并安裝惡意軟件，甚至從他們的個人賬戶發(fā)送消息、傳播電腦蠕蟲病毒等。

以下是該研究小組提供的完整漏洞列表:

1、開啟麥克風(fēng)，監(jiān)聽私人談話；

2、加入任何VR空間，其中也包括私密VR空間；

3、創(chuàng)建可復(fù)制的蠕蟲病毒，其他玩家進(jìn)入該用戶VR空間時會被感染；

4、實時查看用戶電腦屏幕；

5、代替用戶發(fā)送消息；

6、在用戶電腦上下載惡意軟件并運行任意程序；

“從研究結(jié)果來看，攻擊者可以以十分隱蔽的狀態(tài)在一旁監(jiān)聽用戶的談話，甚至可以記錄他們是如何在VR空間中與其他人實現(xiàn)互動的?！盉aggili稱：“對于用戶來說，在VR空間中無法通過看或聽來判斷另一個人是否存在，但攻擊者很有可能就在你的身邊明目張膽地‘偷窺’著你?！?br/>

在VR空間中處于隱蔽狀態(tài)，也被稱為MITR攻擊（Man-In-The-Room），這是一種基于VR程序的新型攻擊手段。MITR會強(qiáng)制以“第二名玩家”的身份登錄用戶服務(wù)器，同時自動調(diào)取“隱形頭像”這一功能。此外，該團(tuán)隊在研究中還發(fā)現(xiàn)了來自Unity的幾個漏洞，這也有可能在Bigscreen中被顯現(xiàn)出來。

發(fā)現(xiàn)漏洞之后，該研究小組第一時間向Bigscreen運營商和Uniity公司發(fā)送了報告。同時，他們也在網(wǎng)絡(luò)上發(fā)布了安全警告，其中包括Oculus Rift和HTC Vive兩大PC VR平臺。2月14日，Bigscreen和Unity分別發(fā)布了安全補丁和安全警告解決了上述問題。

文章來自：VRscout

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。