Уязвимости в Steam VR и VRChat могут привести к полной компрометации системы

Уязвимости в Steam VR и VRChat могут привести к полной компрометации системы

Уязвимости в приложениях виртуальной реальности позволяют взламывать компьютеры через чат-румы.

image

С помощью неизвестных уязвимостей киберпреступники могут взломать компьютеры пользователей, просто заманив их в чат-румы популярных приложений виртуальной реальности Steam VR или VRChat.

Исследователи безопасности Алекс Радоцеа (Alex Radocea) и Филип Петтерсон (Philip Pettersson) обнаружили уязвимости в трех разных платформах виртуальной реальности, позволяющие злоумышленникам взломать компьютер. Проблемы были выявлены в VRChat, функции виртуального дома Valve Steam VR и платформы с открытым исходным кодом High Fidelity.

«Когда вас взломали в виртуальной реальности, вы в прямом смысле почувствуете это на себе. Атакующий получит доступ ко всем вашим чувствам. Он сможет видеть вашими глазами – в шлеме есть камеры. Он сможет слышать вашими ушами – в шлемах есть микрофоны. Он сможет проецировать изображение на вашу сетчатку. Он сможет видоизменять виртуальный мир по своему желанию», – пояснил Петтерсон в телефонном разговоре с журналистами Motherboard.

По словам исследователей, особенно опасна уязвимость в Steam VR и VRChat. Для ее эксплуатации атакующему достаточно лишь внедрить эксплоит в чат-рум и пригласить в него жертву. С этого момента он сможет включать ее микрофон и камеру, а также манипулировать отображаемым в шлеме контентом.

Что еще хуже, злоумышленник может создать самораспространяющегося червя, заражающего каждого посетителя чат-рума, а также приглашать в зараженные чат-румы их друзей.

Исследователи сообщили о своем открытии производителям, и уязвимости были исправлены. Тем не менее, сам факт их существования указывает на то, что производителям платформ виртуальной реальности предстоит еще многое сделать для обеспечения безопасности своих пользователей.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle