Уязвимости в приложении Bigscreen позволяют следить за происходящим в виртуальной комнате

image

Теги: Bigscreen, приложение, уязвимость, виртуальная реальность

С помощью атаки «человек в комнате» злоумышленник может подглядывать за пользователями и подслушивать их разговоры.

Уязвимости в популярном приложении виртуальной реальности Bigscreen позволяют посторонним незаметно для пользователей следить за происходящим в виртуальной комнате. Кроме того, с их помощью злоумышленник может заразить компьютер жертвы вредоносным ПО и даже запустить сетевого червя, распространяющегося через виртуальную реальность.

Bigscreen Beta – доступное через Steam популярное приложение виртуальной реальности с поддержкой HTC Vive, Oculus Rift и Windows Mixed Reality. Приложение позволяет пользователям создавать свои аватары, общаться, устраивать совместные развлечения и просмотры фильмов, создавать частные комнаты, вместе работать над проектами и пр.

Разработчики Bigscreen позиционируют приложение как «виртуальную гостиную», и его взлом можно сравнить с проникновением незнакомца в чужую комнату. Злоумышленник может спрятаться и следить за происходящим в комнате без ведома находящихся в ней людей. Однако в случае с приложением дела обстоят еще хуже, поскольку злоумышленник может получить доступ ко всем хранящимся на уязвимом компьютере данным.

Разработанная специалистами Университета Нью-Хейвена (США) атака «человек в комнате» (man-in-the-room) не требует никаких дополнительных действий от жертвы.

«Как показывает наше исследование, хакеры могут круглосуточно следить за пользователями – подслушивать разговоры и подсматривать за тем, что они видят сквозь виртуальную реальность. Они (пользователи – ред.) не видят и не слышат вас, но хакер может видеть и слышать их, как невидимый “Подглядывающий Том”. Вторжение в совсем иной уровень приватности», – сообщили исследователи.

Специалисты частным образом уведомили производителя о проблеме, и уязвимости были исправлены.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.