VR社交應用Bigscreen存在安全漏洞，黑客可執行MITR攻擊

雷鋒網2月22日消息，康涅狄格州West Haven大學安全研究小組發現VR社交平台Bigscreen存在嚴重安全漏洞。該漏洞允許攻擊者在未獲得玩家許可權的情況下進入其虛擬現實空間，進而提升了系統被嵌入惡意程序的幾率。

雷鋒網了解到，《Bigscreen》是一款VR應用軟體，其功能是讓世界各地的玩家可以在虛擬的VR空間內共同欣賞遊戲、電影以及會議聊天等內容。該應用於2016年4月在Steam上線，主要適配機型為Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR頭顯。

在該研究團隊發表的一篇博客論文中，對於Bigscreen易受攻擊的類型進行了分析。文章中提到，攻擊者能夠激活Bigscreen用戶遠程麥克風，監聽其私人對話、查看用戶的桌面屏幕，下載並安裝惡意軟體，甚至從他們的個人賬戶發送消息、傳播電腦蠕蟲病毒等。

以下是該研究小組提供的完整漏洞列表:

1、開啟麥克風，監聽私人談話；

2、加入任何VR空間，其中也包括私密VR空間；

3、創建可複製的蠕蟲病毒，其他玩家進入該用戶VR空間時會被感染；

4、實時查看用戶電腦屏幕；

5、代替用戶發送消息；

6、在用戶電腦上下載惡意軟體並運行任意程序；

「從研究結果來看，攻擊者可以以十分隱蔽的狀態在一旁監聽用戶的談話，甚至可以記錄他們是如何在VR空間中與其他人實現互動的。」Baggili稱：「對於用戶來說，在VR空間中無法通過看或聽來判斷另一個人是否存在，但攻擊者很有可能就在你的身邊明目張胆地『偷窺』著你。」

在VR空間中處於隱蔽狀態，也被稱為MITR攻擊（Man-In-The-Room），這是一種基於VR程序的新型攻擊手段。MITR會強制以「第二名玩家」的身份登錄用戶伺服器，同時自動調取「隱形頭像」這一功能。此外，該團隊在研究中還發現了來自Unity的幾個漏洞，這也有可能在Bigscreen中被顯現出來。

發現漏洞之後，該研究小組第一時間向Bigscreen運營商和Uniity公司發送了報告。同時，他們也在網路上發布了安全警告，其中包括Oculus Rift和HTC Vive兩大PC VR平台。2月14日，Bigscreen和Unity分別發布了安全補丁和安全警告解決了上述問題。

文章來自：VRscout

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！