Используя дыры в платформах Steam VR, High Fidelity и VRChat, злоумышленники могли получить доступ к компьютерам жертв.
ИБ-исследователи Алекс Радоча (Alex Radocea) и Филип Петтерссон (Philip Pettersson) на конференции REcon рассказали об уязвимостях удаленного исполнения кода в платформах виртуальной реальности Steam VR, High Fidelity и VRChat. По их словам, обнаруженные дыры открывали возможность захвата контроля над целевыми компьютерами. Техническую информацию специалисты передали разработчикам приложений, и проблемы уже устранены.
«Когда вас взломают в виртуальной реальности, вы это сразу поймете, а атакующий получит полный доступ к вашим средствам восприятия. Он сможет видеть вашими глазами — ведь в гарнитурах есть камеры, и слышать, что вы говорите, поскольку там есть микрофон. Он сможет проецировать изображения на вашу сетчатку и видоизменять виртуальный мир так, как захочет», — предупредил Петтерссон в телефонном разговоре с журналистами Vice.
Исследователи считают, что наибольшую опасность представляли уязвимости в платформах Steam VR и VRChat. Для атаки злоумышленнику достаточно было внедрить эксплойты в чат и пригласить туда людей. После этого он мог включать веб-камеры и микрофоны участников, а также управлять тем, что они видели в очках виртуальной реальности. Кроме того, на основе этих уязвимостей можно было создать самораспространяющееся ПО, которое заражало бы всех посетителей вредоносного чата и рассылало приглашения от имени жертв.
Исследователи продемонстрировали, как могла бы выглядеть такая атака.
По словам специалистов, обнаруженные ошибки показывают, как многое еще предстоит сделать разработчикам для защиты пользователей VR-продуктов. Несмотря на это, технологии виртуальной реальности могут начать активное проникновение на рынок уже в ближайшие годы. В 2017 году аналитики из Института программной инженерии отметили эту возможность в отчете Министерству внутренней безопасности США.