虛擬世界也被黑客侵略了，VR應用程序出現嚴重漏洞

今天我談論的是一個虛擬世界裡的網路安全問題，有人說過，VR應用是繼互聯網之後的另一個新時代。不過，就目前而言，虛擬世界也免不了互聯網世界裡的攻擊災難。比如，黑客通過插入虛擬泄漏，讓不安全的VR應用程序盜竊用戶數據。

其實，以前我也談論過虛擬、增強以及混合現實里可能出現的安全問題，不過沒有找到實證。但現在可以肯定的是，我在一個VR色情應用SinVR中發現了第一個潛在的重大VR應用程序安全漏洞，目前大約有兩萬人的用戶數據遭到泄露。

SinVR漏洞介紹

目前，VR色情應用SinVR的安全漏洞問題現已被修復，據SinVR母公司InVR Inc透露，目前這個漏洞已經被修復，公司也已經從中吸取了教訓。

色情應用經常被惡意軟體攻擊，所以，如果你喜歡手機上的色情內容，或者是VR色情迷，那麼請務必確認設備的安全。

SinVR是專為用戶提供「私人地牢」的色情VR遊戲。英國安全公司Digital Disruption在SinVR應用中發現了一個高危漏洞，有高達兩萬名的用戶隱私被泄露在網上。黑客可以使用公開的SinVR賬戶，進一步發掘用戶的真實姓名、電子郵件地址和設備名稱，以及使用PayPal的交易信息。

Digital Disruption表示：

黑客不僅可以利用這個漏洞來執行社交工程攻擊，而且由於應用屬於色情性質，一些用戶甚至可能因這些泄露的信息被勒索。

據SinVR母公司InVR Inc透露，目前這個漏洞已經被修復，公司也已經從中吸取了教訓。

SinVR的一位發言人表示：

在Digital Disruption公布這個漏洞之後，我們就立即解決了問題。為讓此漏洞真正被利用，目前我們已與Digital Disruption聯繫，確認這個漏洞已經被關閉了。

漏洞的發現過程

Digital Disruption是在逆向SinVR應用程序時，發現他們可以對端點進行未經驗證的調用，這要感謝一個看起來好像允許SinVR下載所有用戶列表的函數。雖然他們不得不通過應用程序修改二進位文件，但虛擬設備完全不會對測試者進行端點調用的驗證。

漏洞的出現是必然的

如果我們回想一下索尼手游開始流行時，所發生的那些攻擊事件。當時隨著手游的出現和流行，遊戲公司就成了黑客的攻擊目標，包括硬體攻擊，竊取資料庫，篡改遊戲伺服器以及其他各種惡意行為。當時，由於手游也是新出現的事物，所以，很顯然，許多遊戲公司還沒有考慮到安全防護這一層。不過，隨著手游的普及，安全性也很快跟上了。

然而，虛擬現實技術是一個嶄新的世界，有許多新的VR公司可能在幾年前就是做遊戲的。這很容易理解，因為VR的主要應用場景之一就是讓用戶有更真實的遊戲感受。雖然VR在影視和廣告領域的發展前景也很大，但很明顯用戶數的增長速度非常慢。

另外，虛擬現實開發的門檻一直在降低，在網上可以找到價格合理的「DIY」工具包，讓任何人都可以開始編碼VR遊戲。對於這些開發者來說，將遊戲的利益最大化才是最終目標，至於遊戲和資料庫的安全，誰會在意？

SinVR漏洞很可能是VR安全的冰山一角，但它卻證明了新世界依然需要參考一下舊世界的秩序。不過幸運的是，此次漏洞還好是安全公司處於研究的需要發現的，並沒有造成什麼實際威脅。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！