Исследователи кибербезопасности Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на канадской конференции REcon рассказали – и показали! – все про уязвимости удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat (то есть, в трех основных платформах).
Как утверждают эксперты, обнаруженные дыры дают возможность захвата контроля над целевыми компьютерами.
«Когда вас взломают в виртуальной реальности, вы это сразу поймете, а атакующий получит полный доступ к вашим средствам восприятия. Он сможет видеть вашими глазами – ведь в гарнитурах есть камеры, и слышать, что вы говорите, поскольку там есть микрофон. Он сможет проецировать изображения на вашу сетчатку и видоизменять виртуальный мир так, как захочет», – Филип Петтерссон
Наибольшую опасность представляют уязвимости в платформах Steam VR и VRChat. Для атаки злоумышленнику достаточно было внедрить эксплойты в чат и пригласить туда людей. После этого он мог включать веб-камеры и микрофоны участников, а также управлять тем, что они видели в очках виртуальной реальности (каждый может стать кибергипнотизером!).
Кроме того, на основе этих уязвимостей можно было создать самораспространяющееся ПО, которое заражало бы всех посетителей вредоносного чата и рассылало приглашения от имени жертв.
Исследователи продемонстрировали, как могла бы выглядеть такая атака в чрезвычайно вдохновляющем видео, заставляющем вспомнить киберпанк-хиты 90-х.
По словам специалистов, обнаруженные ошибки показывают, как многое еще предстоит сделать разработчикам для защиты пользователей VR-продуктов. Рынок виртуальной и расширенной реальности активно развивается. Уже к 2022 году его оборот, по некоторым оценкам, может увеличиться более чем в пять раз по сравнению с 2019-м.
Техническую информацию специалисты передали разработчикам приложений, и проблемы уже устранены. Ждем, когда обнаружат новые.
