Jaké nebezpečí hrozí ve virtuální realitě? Student z FIT pomohl americkým vědcům odhalit nedostatečné zabezpečení

/zVUT.cz/ Muž v místnosti. Tak zní název nově objevené hrozby ve virtuální realitě, kterou odhalil tříčlenný tým výzkumníků na univerzitě v americkém New Havenu. Byl mezi nimi i student Fakulty informačních technologií VUT Martin Vondráček, který na connecticutské univerzitě pobýval v rámci zahraniční stáže. Kromě zcela nové hrozby přišli odborníci i na řadu dalších nedostatků v aplikacích, které umožňují trávit ve virtuální realitě čas s přáteli nebo vést obchodní jednání.

Aplikace Bigscreen umožňuje připojit se ve virtuální realitě k ostatním lidem na světě a sledovat například společně filmy, sedět u virtuálního táboráku či vést jednání v neexistující zasedací místnosti. Podle údajů společnosti používá nyní software přes půl milionu lidí po celém světě a zábavní funkci rychle začíná dohánět firemní využití. I proto se tým Ibrahima Baggiliho z univerzity v New Havenu zaměřil na bezpečnost virtuální reality a zabezpečení zmíněné aplikace. Kromě toho zkoumali i platformu Unity.

Právě kvůli účasti v tomto unikátním projektu, kdy se američtí výzkumníci rozhodli pustit do otestování bezpečnosti virtuální reality, přijel na univerzitu v New Havenu Martin Vondráček z FIT VUT. "Tým doktora Baggiliho se dlouhodobě ve svých projektech zaměřuje na nové a populární aplikace, které využívá velké množství lidí. V minulosti tak například zkoumali zabezpečení služby WhatsApp. Nedávno si všimli, že se stále větší popularitě těší aplikace pro virtuální realitu. Uživatelé ve virtuální realitě začínají trávit i několik hodin denně, a navíc už to neslouží pouze k zábavě, ale například i pro obchodní jednání či porady. Právě použití v podnicích je značně problematické z hlediska bezpečnosti, protože se bavíme o možnosti úniku citlivých informací a podobně," přiblížil Vondráček.

Spolu s kolegou Peterem Caseyem měli proto za úkol objevit možné slabiny aplikace Bigscreen a zjistit, jak může být zneužita. "Problém je, že trh s aplikacemi pro virtuální realitu je nyní hodně konkurenční. Firmy se snaží jít s novými funkcionalitami na trh co nejdřív a nemají moc času je testovat," dodal Martin Vondráček.

Přiznává ale, že míra zneužitelnosti aplikace byla i pro něj překvapivá. "Upřímně mě to šokovalo. Šokovalo mě, co všechno jsme byli schopni najít, i obrovský dopad, jaký by to mohlo mít. Původně jsme chtěli jen zjistit, co všechno se dozvíme o privátní komunikaci. První cíl byl tedy určit, kdo s kým interagoval. Pak jsme ale zjistili, že jsme schopni odhalit také to, jaké jsou v aplikaci uzavřené místnosti. Nejen, že jsme se do těchto skrytých místností byli schopni připojit. My jsme se dostali i ke konkrétnímu počítači, na kterém aplikace běžela," uvedl mladý výzkumník. V praxi to znamená, že je útočník schopen dostat se do počítače uživatelů aplikace a například v nich nainstalovat malware, aniž by o tom majitelé věděli.

Výzkumníci navíc přišli i na zcela nový typ hrozby, který nazvali Man-in-the-Room, tedy Muž v místnosti. Byli totiž schopni nepozorovaně proniknout do uzavřených místností a sledovat vše, co se v nich děje. Aniž by to ostatní účastníci věděli, mohli výzkumníci vyslechnout soukromé rozhovory i citlivé podnikové informace. "Nejtěžší bylo vymyslet, že by taková věc byla vůbec možná. Doktora Baggilho napadlo, zda je možné narušit virtuální prostor. Inspiroval nás síťový útok Man-in-the-Middle, kdy si dva účastníci konverzace myslí, že komunikují přímo spolu, ale přitom je mezi nimi někdo třetí a může konverzaci ovlivňovat," popsal Vondráček s tím, že přijít na to, jak útok provést, znamenalo tři měsíce nepřetržité práce. "Nejhorší je začátek, než na něco přijdete. Do té doby jen zkoušíte, zkoumáte, experimentujete. Je to hledání jehly v kupce sena, aniž byste věděli, zda vůbec nějaká jehla v seně je," podotkl Vondráček.

Podle něj jsou zjištění o to závažnější, že není mnoho způsobů, jak se může běžný uživatel bránit. "Aplikaci jsme měli staženou z oficiálního úložiště. Běžný uživatel tedy nemá mnoho možností, jak se proti napadení ochránit. I přesto je ale dobré dodržet standardní postup a mít staženy aktualizace, funkční antivir a chovat se obezřetně," dodal Vondráček.

Podle všeho už ale mohou být uživatelé o něco klidnější. Výzkumníci se totiž se svými zjištěními obrátili na společnost Bigscreen a Unity a domluvili se na rychlé nápravě bezpečnostních chyb. V aktualizacích už by tak měly být nové bezpečnostní prvky zahrnuty. "Zaručit, že je systém nyní naprosto bez chyb, samozřejmě nemůžeme, protože po změně aplikace jsme další analýzu už znovu nedělali," upozornil Martin Vondráček, který o tom, jak při bezpečnostní analýze postupovali, nyní píše diplomovou práci. Spolu s americkými kolegy také na stejné téma dokončuje odborný článek. Zároveň zvažuje i doktorské studium, v rámci kterého by případně rád na spolupráci s univerzitou v New Havenu navázal.

STÁŽ V ZAHRANIČÍ

Nenahraditelná zkušenost. Tak hodnotí své stáže v zahraničí Martin Vondráček. Před výzkumným pobytem v americkém New Havenu měl možnost dvakrát vyjet studovat v programu Erasmus+, a to na univerzity na Maltě a v jižním Walesu. "Není nad to vyzkoušet si studovat nebo pracovat v úplně jiném prostředí, než na které jste zvyklý," říká Martin Vondráček. V loňském roce proto začal hledat další zajímavé příležitosti pro studium, práci nebo výzkum. "Na fakultě jsem dostal velmi přínosný tip na možnou spolupráci s University of New Haven. Ta bohužel s VUT nemá uzavřenou žádnou pevnou dohodu, podařilo se mi ovšem s nimi domluvit praktickou stáž a na fakultě zajistit financování z programu Freemovers," vzpomíná Martin Vondráček. Na univerzitě v New Haven nakonec strávil tři měsíce. "Pro výzkumnou skupinu jsem byl kromě počítačové bezpečnosti přínosný zejména v oblasti počítačových sítí. Zároveň jsem zlepšil své schopnosti analýzy síťového provozu a získal cenné zkušenosti v mnoha dalších oblastech," uzavírá Martin Vondráček.