Ist es möglich, "virtuelle Realität" zu knacken? Und wenn ja, warum dann? Die Antwort auf die erste Frage lautet ja, das ist möglich. In den letzten Jahren haben Informationssicherheitsexperten mehrmals schwerwiegende Sicherheitslücken in beliebten VR-Entwicklungen aufgezeigt und festgestellt, dass Angreifer damit echten Schaden anrichten können. Die Beantwortung der Frage „Warum“ hängt vom Umfang der „virtuellen Realität“ ab.Nun beobachtet man relativ gesehen die "dritte Welle" der VR. Das Konzept der "virtuellen Realität" in seiner modernen Form wurde in den 1980er Jahren populär. Zu dieser Zeit gab es jedoch bereits unterhaltsame Projekte wie Sensorama oder „Das Damoklesschwert“ (der erste Helm der virtuellen Realität, primitiv in seinen Fähigkeiten und bedrückend schwerfällig) und zahlreiche VR-Entwicklungen, die in professionellen Bereichen zum Einsatz kamen - Medizin, Luftfahrt, Konstruktionsentwurf usw. Militärsimulatoren, einschließlich Flugsimulatoren, wurden mit unterschiedlichem Wirkungsgrad entwickelt und implementiert.
Ein kurzfristiger Anstieg der Popularität von VR-Unterhaltungsprojekten fand in den 1990er-Jahren statt: Die Moskauer werden sich wahrscheinlich an einen Computerladen in den späten 1990er-Jahren im Book House in Novy Arbat erinnern, in dem sie alte Doom- oder Heretic-Schützen in einem VR-Helm gegen Geld spielen konnten Forte VFX1. Dies ist eine große und schwere Einheit, die stereoskopische Bilder in 256 Farben und Stereoton unterstützt und zusätzlich mit Mitteln zum Verfolgen der Position des Kopfes des Benutzers ausgestattet ist. Aber die Mode für solche Geräte erschien und verging: VR-Einheiten waren teuer und nicht sehr funktionell und verursachten daher kein Masseninteresse.
Die Technologie reifte erst in der zweiten Hälfte der 2010er Jahre. In den Jahren 2015-2016 kamen VR-Systeme wie Oculus Rift (für PCs), HTC Vive (auch für PCs), Sony PlayStation VR (für Spielekonsolen) und Samsung Gear VR (für Mobilgeräte) auf den Markt. Alle sehr schnell mit Dutzenden oder sogar Hunderten von Spieletiteln überwachsen; Viele bekannte Spiele wurden finalisiert und speziell für VR neu veröffentlicht. Wie erwartet war das Spiel nicht auf Spiele beschränkt. Für Rift wurden beispielsweise spezielle Anwendungen zum Anzeigen von Panorama-Videos oder -Filmen auf einem virtuellen „großen Bildschirm“ erstellt. Für alle modernen Plattformen gibt es eine Vielzahl von "virtuellen Wohnräumen" - VR-Chats.
Erbkrankheiten
Helme der virtuellen Realität haben das Interesse der Industrie und mehrerer anderer Berufsbereiche geweckt, wie z. B. Ingenieurdesign, Visualisierung, Werbung und Bildung. Eine wichtige Rolle spielte auch die zunehmende Geschwindigkeit der Internetverbindung. Dadurch ist die gleichzeitige Anwesenheit einer unbegrenzten Anzahl von Benutzern in einem "virtuellen Raum" möglich. Und hier gewinnt die unbefugte Beeinflussung - das „Hacken der virtuellen Realität“ - praktische Bedeutung und Bedeutung.
Die Basis moderner VR-Lösungen bilden gleichzeitig die gängigsten Computertechnologien: VR-Helme und -Brillen funktionieren nur in Verbindung mit Heimcomputern oder Mobilgeräten, auf denen ihre Softwarekomponenten gestartet werden - Anwendungen, die für Standardumgebungen in bekannten Programmiersprachen geschrieben wurden. Und sie sind, wie die Praxis zeigt, verwundbar.
Die Sicherheitsexperten Alex Radocea und Philip Pettersson
deckten 2018 schwerwiegende Sicherheitslücken in VRChat, Steam VR und High Fidelity (einer unabhängigen Open-Source-VR-Plattform) auf.
Als besonders unangenehm erwiesen sich die Sicherheitslücken von VRChat: Ein Angreifer kann nicht nur alles wie ein legitimer Benutzer sehen und hören, sondern auch die visuellen und akustischen Komponenten unterwegs ändern. Dies dient unter anderem dazu, psychologische Angriffe auf das Opfer auszulösen. Darüber hinaus kann ein Angreifer Exploits in den VR-Bereich einführen und mit ihrer Hilfe die vollständige oder teilweise Kontrolle über PCs erlangen, über die Benutzer mit diesem Chat verbunden sind, einschließlich des Ausspähens und Abhörens von Opfern über Webcams, eingebaute Mikrofone usw. Um einen Benutzer zu infizieren, loggen Sie sich einfach in den VR-Chat ein. Die Malware sendet dann Einladungen zu demselben Chat an ihre Kontakte. Theoretisch hätte eine solche Epidemie alle VRChat- und Steam VR-Benutzer im Allgemeinen erfassen können.
Das folgende Video zeigt, was die Person sieht, deren VR-Anwendung angegriffen wird:
Anfang 2019 berichteten Experten der University of New Haven über
das Hacken einer weiteren beliebten VR-Anwendung, Bigscreen, die auf der Unity-Engine erstellt wurde. Durch die Ausnutzung von Schwachstellen in der Anwendung selbst und in der Engine kann der Cracker das im Computer integrierte Mikrofon für den Benutzer unsichtbar einschalten und persönliche Gespräche mithören. Sehen Sie sich alles an, was auf dem Bildschirm des Opfers angezeigt wird, laden Sie beliebige Programme auf den Computer des Zielbenutzers herunter, führen Sie sie aus und senden Sie im Namen des Opfers Nachrichten. Darüber hinaus kann ein Angreifer eine Verbindung zu VR-Räumen herstellen, auch zu rein privaten, während er für andere Benutzer unsichtbar bleibt. Erstellen Sie eine sich selbst replizierende Malware, die alle infiziert, die sich mit demselben „Raum“ verbinden, in dem sich der „Null-Patient“ bereits befindet. Dies eröffnet einem Angreifer die Möglichkeit, Cyberspionage zu betreiben und Malware zu verbreiten, einschließlich Banking-Trojaner und Ransomware-Ransomware.
Von Voyeurismus und Infektion zu Cyberspionage und Cyberterrorismus
In einer Situation, in der VR-Anwendungen für die reale Arbeit an kommerziellen Projekten (und nicht für Kommunikation oder Spiele) verwendet werden, können Angriffe auf die virtuelle Realität noch schwerwiegendere Folgen haben. Das Ausmaß der Katastrophe während eines erfolgreichen Hacks hängt davon ab, auf welche Daten der Angreifer zugreifen kann und welche VR-Lösungen für den professionellen Einsatz verwendet werden. Kann ein Angreifer über ein VR-System auf Benutzerbankkonten zugreifen? Kann es Benutzersysteme mit Ransomware lahm legen? Kann er einen Computer mit einem VR-System als Zugangspunkt verwenden, um in das Unternehmensnetzwerk einzudringen? Warum nicht, wenn beispielsweise derselbe Laptop sowohl für die Heimunterhaltung als auch am Arbeitsplatz verwendet wird (über andere Gefahren von BYOD haben wir bereits früher gesprochen).
Mit der Erweiterung des VR-Bereichs steigen auch die Risiken. Lösungen im Zusammenhang mit virtueller oder erweiterter Realität (VR / AR) werden bereits in der Medizin eingesetzt (siehe z. B.
Luna VR Health- und
XRHealth-Projekte ). VR / AR-Lösungen werden auch in der Industrie eingesetzt. Zum Beispiel
zur Steuerung von Industrierobotern (nur Oculus Rift). Es ist leicht vorstellbar, welche Konsequenzen ein Angriff auf einen Roboter durch ein VR-System oder eine medizinische Lösung hat.
Unabhängig vom Szenario des potenziellen Angriffs liegt die Ursache des Problems wiederum in den Softwarefehlern der Entwickler. In den meisten Fällen suchen Angreifer nach einfachen Wegen: Je einfacher die Ausnutzung der Sicherheitsanfälligkeit und je mehr Schaden angerichtet werden kann, desto höher ist die Wahrscheinlichkeit eines Angriffs. Die Bedrohung wird jedoch drastisch abnehmen, wenn Benutzer beim Schutz von Endgeräten größere Sorgfalt walten lassen und Hersteller von VR-Systemen beim Schreiben von Software-Shells das Konzept der sicheren Entwicklung anwenden. Das heißt, umfassenden Schutz gegen Cyber-Bedrohungen anzuwenden, die im kommenden Jahr und darüber hinaus immer mehr nachgefragt werden. Dies gilt nicht nur für die Entwicklung von VR-Lösungen, sondern auch für die Gesamtentwicklung von Softwareprodukten und Industrielösungen, wie Trend Micro
in seiner Prognose feststellt . Aber dies ist eine andere Geschichte, über die wir in einem der folgenden Beiträge sprechen können.