Monitoring

Dne: 24. dubna 2019

Chip: Špionáž ve virtuálním světě

Datum vydání: 24.04.2019 | Zdroj: Chip | Rubrika: Trendy / Bezpečnost | Strana 34

Úniky dat, špionáž, hacknuté systémy - to vše je už pro nás v podstatě realitou. Bezpečnostní hrozby však čekají i ve virtuálním světě. 


Ve výzkumné skupině UNHcFREG (chip.cz/un) se student Martin Vondráček z Fakultyinformačních technologií Vysokého učení technického v Brně zabýval počítačovou bezpečností populárních technologií. Mezi aktuální témata výzkumníků z této skupiny patří například bezpečnost virtuální reality, bezpečnost internetu věcí, bezpečnost nositelných technologií (Wearable technology), ale i například kryptoměny. Skupina sídlí a celý tento projekt byl proveden na University of New Haven v Connecticutu v USA. 

Co se týká konkrétně bezpečnosti virtuální reality, v široce používaném systému pro VR, který má více než 500 000 uživatelů, tento tým objevil významnou bezpečnostní slabinu. Nalezena byla i bezpečnostní chyba v jedné z platforem pro VR aplikace. Konkrétně se jedná o platformu Unity, která umožňuje vytváření her a aplikací mimo jiné i pro VR. Chyba v Unity tak mohla mít vliv na další aplikace. 

Řada dodavatelů softwaru pro VR usiluje o dodání svých produktů na trh v nejkratší možné době, a vývojářské společnosti proto často nevěnují dostatečnou pozornost jejich zabezpečení. 

Jedná se přitom o závažnou věc, protože VR aplikace jsou využívány nejen pro zábavu, ale i pro práci a sociální interakci. Během výzkumného pobytu se Martinu Vondráčkovi podařilo vytvořit ukázkové útoky demonstrující kritický dopad těchto zranitelností. Vzhledem k závažnosti objevených útoků byly kontaktovány odpovídající společnosti v rámci procesu "responsible disclosure", což je zodpovědné odhalení, kdy výsledky výzkumu nejsou veřejné do doby, kdy jsou chyby už opraveny. 

Dnes už je tedy možné říct, že se jednalo konkrétně o aplikaci Bigscreen. 
Bigscreen je populární aplikace pro virtuální realitu, která nabízí využití pro volný čas a sociální aktivity, jako je například společné hraní her ve VR nebo společné sledování filmů ve VR. Aplikace je ale také využívána v pracovním prostředí ke spolupráci a meetingům ve virtuální realitě například týmy, které mají jednotlivé pracovníky od sebe vzdálené. Bigscreen umožňuje uživatelům používat své počítače uvnitř virtuální reality. Každý uživatel má vlastní 3D postavičku a pomocí senzorů se jeho pohyb a akce přenáší do virtuální místnosti. Pomocí ovladačů v rukou a VR brýlí se pak uživatelé ponoří do virtuálního prostředí. Uvnitř virtuální reality se tak mohou setkávat lidé z různých částí světa. Bigscreen se tedy používá i k důvěrné komunikaci uvnitř uzavřených privátních místností. Společnost Bigscreen uvádí na svém webu počet uživatelů mezi 500 000 a 1 milionem.

Výzkumnému týmu se podařilo odhalit zranitelnosti, které by útočníkům mimo jiné umožnily: 
> odposlouchávat mikrofon a sledovat obrazovku počítače napadených uživatelů bez jejich vědomí. Pokud by uživatelé v privátní místnosti sdíleli například nějaké choulostivé informace nebo pokud by se na firemní VR poradě ukazovaly interní dokumenty, útočník se k takovým informacím dostane; 
> přes internet získat kontrolu nad počítači uživatelů. Útočník by byl schopen například spouštět libovolné programy a otevírat soubory a složky na počítači oběti; 
> distribuovat malware a následně ho spustit. Chyby zabezpečení by také umožňovaly vytvořit škodlivý kód, který infikuje počítač uživatele zmiňované aplikace, ovládne ho a ohlásí se zpět útočníkovi. Infikovaný uživatel aplikace Bigscreen by pak ale nevědomě dál útočil na ostatní uživatele bez přičinění původního útočníka. 

***

Man-In-The-Room 

Dále se výzkumné skupině podařilo vytvořit nový typ útoku, který zakladatel výzkumné skupiny Dr. Baggili pojmenoval Man-In-The-Room. Útočník je díky němu schopen dostat se do soukromých virtuálních místností a být pro ostatní účastníky neviditelný. Dále se podařilo zjistit, jak přistoupit do soukromých uzavřených místností. Útočník se mohl v místnosti nerušeně pohybovat a pozorovat a poslouchat akce ostatních uživatelů bez jejich vědomí. Můžeme to přirovnat k neviditelnému plášti. 

Vložila: Kozubová Hana, Mgr.

Poslední změna: 2019-08-09T15:57:35

Zpět na zprávy z FIT

Nahoru