雷鋒網(wǎng)2月22日消息，康涅狄格州West Haven大學(xué)安全研究小組發(fā)現(xiàn)VR社交平臺(tái)Bigscreen存在嚴(yán)重安全漏洞。該漏洞允許攻擊者在未獲得玩家權(quán)限的情況下進(jìn)入其虛擬現(xiàn)實(shí)空間，進(jìn)而提升了系統(tǒng)被嵌入惡意程序的幾率。

雷鋒網(wǎng)了解到，《Bigscreen》是一款VR應(yīng)用軟件，其功能是讓世界各地的玩家可以在虛擬的VR空間內(nèi)共同欣賞游戲、電影以及會(huì)議聊天等內(nèi)容。該應(yīng)用于2016年4月在Steam上線，主要適配機(jī)型為Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR頭顯。

在該研究團(tuán)隊(duì)發(fā)表的一篇博客論文中，對(duì)于Bigscreen易受攻擊的類型進(jìn)行了分析。文章中提到，攻擊者能夠激活Bigscreen用戶遠(yuǎn)程麥克風(fēng)，監(jiān)聽(tīng)其私人對(duì)話、查看用戶的桌面屏幕，下載并安裝惡意軟件，甚至從他們的個(gè)人賬戶發(fā)送消息、傳播電腦蠕蟲(chóng)病毒等。

以下是該研究小組提供的完整漏洞列表:

1、開(kāi)啟麥克風(fēng)，監(jiān)聽(tīng)私人談話；

2、加入任何VR空間，其中也包括私密VR空間；

3、創(chuàng)建可復(fù)制的蠕蟲(chóng)病毒，其他玩家進(jìn)入該用戶VR空間時(shí)會(huì)被感染；

4、實(shí)時(shí)查看用戶電腦屏幕；

5、代替用戶發(fā)送消息；

6、在用戶電腦上下載惡意軟件并運(yùn)行任意程序；

“從研究結(jié)果來(lái)看，攻擊者可以以十分隱蔽的狀態(tài)在一旁監(jiān)聽(tīng)用戶的談話，甚至可以記錄他們是如何在VR空間中與其他人實(shí)現(xiàn)互動(dòng)的?！盉aggili稱：“對(duì)于用戶來(lái)說(shuō)，在VR空間中無(wú)法通過(guò)看或聽(tīng)來(lái)判斷另一個(gè)人是否存在，但攻擊者很有可能就在你的身邊明目張膽地‘偷窺’著你?！?br/>

在VR空間中處于隱蔽狀態(tài)，也被稱為MITR攻擊（Man-In-The-Room），這是一種基于VR程序的新型攻擊手段。MITR會(huì)強(qiáng)制以“第二名玩家”的身份登錄用戶服務(wù)器，同時(shí)自動(dòng)調(diào)取“隱形頭像”這一功能。此外，該團(tuán)隊(duì)在研究中還發(fā)現(xiàn)了來(lái)自Unity的幾個(gè)漏洞，這也有可能在Bigscreen中被顯現(xiàn)出來(lái)。

發(fā)現(xiàn)漏洞之后，該研究小組第一時(shí)間向Bigscreen運(yùn)營(yíng)商和Uniity公司發(fā)送了報(bào)告。同時(shí)，他們也在網(wǎng)絡(luò)上發(fā)布了安全警告，其中包括Oculus Rift和HTC Vive兩大PC VR平臺(tái)。2月14日，Bigscreen和Unity分別發(fā)布了安全補(bǔ)丁和安全警告解決了上述問(wèn)題。

文章來(lái)自：VRscout

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。