Virtuální realita

Tým vědců objevil zranitelnosti ve virtuální realitě, včetně nového typu útoku

Bezpečnost nových technologií je téma, kterým se seriózně zabývají i vědecké týmy univerzit. Jeden takový z University of New Haven nedávno dokázal najít zásadní bezpečnostní slabiny ve virtuální realitě.
Total
10
Sdílení

Jaké hrozby objevili a jak podobné týmy fungují? Virtuální realita je dnes finančně i svými nároky dostupná i pro běžné uživatele. Nabízí se její využití pro hry, konference, obchodní prezentace i marketing (zavzpomínejte na prezentaci BMW na WebExpo 2018). Bavíme se tedy o systémech jako například Oculus Rift, HTC Vive, Sony PlayStation VR, Google Cardboard, a Samsung Gear VR. Podle odborníků technologické firmy často zabezpečení svých produktů podcení, protože je tlak trhu nutí inovaci vydat co nejdříve. I to byl jeden z důvodů, proč se na VR zaměřili.

Univerzita v New Havenu má specializovaný tým white hat hackerů, ti hledají v technologiích potenciální slabiny, které by mohli útočníci zneužít. Loni v létě se zaměřili na výzkum virtuální reality (VR). Jedním z nich je i student Vysokého učení technického v Brně Martin Vondráček, který v závěru roku 2016 absolvoval ESET Ethical Hacking Academy (dříve ESET Hacking Academy). O celém výzkumu nyní připravuje diplomovou práci.

Útočníka neuvidíte a neuslyšíte, zjistil výzkum

O co konkrétně šlo? Martin Vondráček, Ibrahim Baggili a Peter Casey objevili bezpečnostní chyby v aplikaci Bigscreen. Ta umožňuje ve virtuálním prostředí realizovat různé sociální aktivity. Jedná se například o meetingy, společné hraní her či sledování filmů. Celosvětově ji podle jejích vlastních údajů využívají řádově statisíce lidí.

Aplikace simuluje reálný svět a umožňuje uživatelům i soukromé konverzace – ať už osobního nebo pracovního charakteru. Problém je, že o soukromí se dalo poměrně jednoduše přijít.

Martin Vondráček a jeho kolegové objevili několik kritických chyb. Bez vědomí uživatele a bez toho, aby uživatel byl nucen si něco stáhnout a nainstalovat dokázali výzkumníci zapnout uživatelův mikrofon a odposlouchávat jeho konverzaci, připojit se nepozorovaně do privátních místností ve VR, sledovat obrazovku uživatele v reálném čase, posílat jménem uživatele zprávy a dokonce instalovat programy, včetně malware, na počítači uživatele.

Virtuální realitou se může šířit botnet

Mimo to bylo v aplikaci možné vytvořit počítačového červa. Ten infikoval počítač uživatele aplikace, ovládl ho a ohlásil se zpět útočníkovi. Červ se navíc dokázal sám replikovat na další uživatele a šířit se tak napříč komunitou. Taková chyba umožňovala vytvoření potenciálního botnetu.

Útočník ze svého řídícího stroje (command-and-control server) měl přehled o všech infikovaných počítačích a byl schopen je ovládat.

Tým i objevil zcela nový typ útoku

V rámci Bigscreen lze vytvořit i privátní místnosti a komunikovat na velmi důvěrné úrovni. Zabezpečení této funkce prověřovala část týmu – ve složení Martin Vondráček, Ibrahim Baggili a Peter Casey. Jakmile dokázali najít zranitelná místo, dokázal ještě Vondráček vytvořit reálný útok a dopady chyb prakticky demonstrovat.

Odhalili způsob, jak přistoupit do soukromých uzavřených místností a zůstat pro ostatní uživatele neviditelný. Tím vznikl nový typ útoku nazvaný Man-In-The-Room.
Útočník se mohl v místnosti nerušeně pohybovat a pozorovat a poslouchat akce ostatních uživatelů bez jejich vědomí. K tomu si připomeňme, že aplikace Bigscreen má využití mimo jiné pro pracovní jednání, nebo je používána i ve vztazích na dálku.

Všechny uvedené chyby výzkumníci reportovali vývojářům technologií. V tuto chvíli by chyby měly být opravené. Jak útok Man-In-The-Room probíhá můžete vidět i na videu:

Na výzkumu se podíleli i Češi

Zmíněná výzkumná skupina UNHcFREG (University of New Haven Cyber Forensics Research & Education Group) se zaměřuje na forenzní vědy a bezpečnost v oblasti moderních technologií a počítačů. Zkoumají všechny aspekty bezpečnosti u IoT, nositelných technologií, virtuální reality nebo kryptoměn, mimo jiné zkoušejí také tyto technologii v laboratorních podmínkách napadnout. Podobné skupiny vždy na zjištěné chyby upozorňují další odborníky a vývojáře. Díky tomu je možné odhalené nedostatky upravit u všech podobných technologií.

Mohlo by vás zajímat

Jak přežít mistrovství světa ve fotbale bez úhony

Začíná mistrovství světa, do něhož se sice naše reprezentace neprobojovala, přesto se možná spousta fotbalových fanoušků zajímala o možnost přímého navštívení dějiště šampionátu. Vidět důležitý zápas, ve kterém změří síly hvězdné týmy Španělska, Německa a třeba Brazílie, je přeci zážitek na celý život.
Přečíst článek