Tým vědců z univerzity v New Havenu objevil zásadní bezpečnostní nedostatky ve virtuální realitě. Uskutečnili dokonce i první útok svého druhu – dokázali nepozorovaně proniknout do privátních chatů ve virtuální realitě.
Virtuální realita (VR) se stává pomalu jistě běžnou a dostupnou technologií. Bezpečnostní nedostatky objevili konkrétně u populární aplikace Bigscreen. V jejím rámci je možné pořádat firemní meetingy, včetně prezentací dat, společně se setkat s přáteli nebo vzdálenou rodinou. Podle vlastních údajů společnosti se takto setkává až milion lidí.
Uživatelé často věří, že v privátním místnosti mají soukromí, bohužel zabezpečení se podle vědců nevyvíjí tak rychle jako dostupnost VR.
„Řada dodavatelů software usiluje o vydání jejich produktů na trh v co nejkratší možné době. Bohužel v tvrdém kompetitivním prostředí často nevěnují dostatečnou pozornost zabezpečení svých produktů. Jedná se o závažnou věc, protože aplikace pro VR jsou využívány nejen pro zábavu, ale i pro práci a sociální interakci, kde je nutné zachovat důvěrnost,“ říká k rizikům člen vědeckého týmu Martin Vondráček.
Tým našel vážné chyby
Vědci našli celou řadu chyb. Dokázali odposlouchávat mikrofon a sledovat obrazovku obětí. Potenciální útočníci by tak byli schopní poslouchat soukromé konverzace nebo číst citlivé dokumenty.
Mezi nejzásadnější nedostatky patří i to, že napadený uživatel nemusel kromě aplikace Bigscreen nic dalšího stáhnout ani sám spustit. Během výzkumu si oběti vůbec nebyly vědomy, že se v pozadí děje cokoli nekalého.
V rámci penetračních testů také vytvořili počítačové červy. Chyby zabezpečení umožnily infikovat další uživatele v lobby a zasáhnout tak velké množství počítačů a potenciálně vytvořit podmínky pro botnet. Útočník ze svého řídícího stroje (command&control server) má přehled o všech infikovaných počítačích a je schopen je ovládat a využívat zmíněné bezpečnostní slabiny.
Duchem ve virtuální realitě, útočník se dokázal zcela skrýt
Tým se věnoval také zabezpečení samotných virtuálních místností. Odhalili totiž chybu, která učinila útočníka neviditelným. Sám Vondráček, který motivován vedoucím týmu a jeho tipy následně zjistil, jak útok provést, připodobnil princip k neviditelnému pláště z populárních knih o Harrym Potterovi.
Dále zjistili, jak přistoupit do soukromých uzavřených místností. Spojením těchto dvou zjištění vznikl zcela nový druh útok, který nazvali Man-In-The-Room.
„Řada dodavatelů software usiluje o vydání jejich produktů na trh v co nejkratší možné době. Bohužel v tvrdém kompetitivním prostředí často nevěnují dostatečnou pozornost zabezpečení svých produktů. Jedná se o závažnou věc, protože aplikace pro VR jsou využívány nejen pro zábavu, ale i pro práci a sociální interakci, kde je nutné zachovat důvěrnost,“ říká k rizikům člen vědeckého týmu Martin Vondráček.
Útočník dokázal vstoupit do soukromé místnosti místnost, aniž by byl viděn, a sledovat veškeré dění. Pokud by byla zmínění privátních místnost použita k například obchodnímu jednání, útočník by snadno mohl číst důvěrné dokumenty. Nemluvě o tom, že aplikaci Bigscreen používají i partneři při vztazích na dálku.
„S ideou útoku Man-In-The-Room, tedy potenciálního proniknutí do uzavřených VR místností, přišel původně doktor Baggili, já jsem pak zjistil, jak nápad realizovat a úspěšně jsem provedl ukázkový útok,“ popisuje Vondráček.
Vědci své závěry reportovali společnosti Bigscreen, která již chyby opravila. Vývojářská společnost Unity upravila programátorskou dokumentaci metody OpenURL, ve které výzkumníci našli bezpečností zranitelnost. Původní dokumentace před nahlášením chyby obsahovala tedy pouze krátký popisek, že metoda otevře adresu v prohlížeči. Po nahlášení objevené zranitelnosti byldokumentace výrazně rozšířena, včetně varování, že tento základní příkaz může být až nečekaně významný.
Scénář útoku krok za krokem
Ve videu výše najdete diagram útoku Man-In-The-Room. Řekněme, že máte dva uživatele (Alice, Bob) a dva útočící (Trudy a Mallory).
Trudy ovládá Command&Control server, který dokáže odposlouchávat konverzace v privátních místnostech. Takže infikuje lobby a následně každého, kdo do lobby vstoupí. Trudy nemusí být ani fyzická osoba. V tomto případě vědci naprogramovali software, aby proces infikace automatizovali.
Jakmile uživatel Bob vstoupí do lobby, útočící Trudy jej infikuje. Pokud Bob vytvoří soukromou místnost, útočník se dozví její jinak utajované ID. Útočník tak získá přístup do místnosti, ovšem bez vědomí Boba (který útočníka vůbec nevidí).
V rámci scénáře je Trudy pouhý program, jakmile se tedy dostane ID privátních místností, informuje útočníka osobně, v našem příkladu je to Mallory. Nasdílí mu ID místnosti a Mallory tak získá přístup. V rámci scénáře se Mallory takto dostane do místnosti, ale zůstává neviditelná.
Původní útočník (Trudy) s Command&Control Serverem ovládá zařízení obou uživatelů. Může například psát vzkazy jejich jmény, může zapnout mikrofon, pozorovat obrazovky obětí, spustit libovolný program na počítači oběti, otevírat složky a soubory nebo dokonce stáhnout malware.
Útočník navíc získává kontrolu nad privátní místností, můžete z ní tedy kohokoliv vyloučit nebo někomu předat administrátorská práva.
Vědci se dále zaměřují na nejnovější technologie
Výzkum probíhal celkem tři měsíce v létě 2018 na Universitě v New Havenu ve státě Connecticut. Na univerzitě působí výzkumná skupina UNHcFREG (University of New Haven Cyber Forensics Research & Education Group / Lab).
Mezi aktuální témata výzkumníků z této skupiny patří například bezpečnost virtuální reality, bezpečnost IoT, bezpečnost nositelných technologií, ale i například kryptoměny.
Na nalezené slabiny zodpovědně upozorňuje tak, aby mohly být chyby opraveny. Odhalováním zranitelností výzkumníci pomáhají dělat technologie bezpečnější.