É possível quebrar a "realidade virtual"? E se sim, então por que fazê-lo? A resposta para a primeira pergunta é sim, é possível. Os especialistas em segurança da informação nos últimos anos demonstraram sérias vulnerabilidades nos desenvolvimentos populares de RV, observando que os atacantes podem usá-los para causar danos reais. Quanto à resposta à pergunta "por que", depende do escopo da "realidade virtual".Agora observado, relativamente falando, a "terceira onda" de VR. O próprio conceito de "realidade virtual", em sua forma moderna, tornou-se popular nos anos 80. No entanto, naquela época, já havia projetos divertidos, como o Sensorama ou "A Espada de Dâmocles" (o primeiro capacete da realidade virtual, primitivo em recursos e deprimente e pesado), e inúmeros desenvolvimentos de RV usados em áreas profissionais - medicina, aviação, projeto de engenharia, etc. Simuladores militares, incluindo os de aviação, foram desenvolvidos e implementados com diferentes graus de eficácia.
Um aumento de curto prazo na popularidade dos projetos de entretenimento em realidade virtual ocorreu na década de 1990: os moradores de Moscou provavelmente se lembrarão de uma loja de computadores no final dos anos 90 na Book House em Novy Arbat, onde poderiam interpretar atiradores antigos do Doom ou Heretic em um capacete de VR por dinheiro Forte VFX1. Esta é uma unidade grande e pesada que suporta imagens estereoscópicas em 256 cores, som estéreo e, além disso, foi equipada com meios para rastrear a posição da cabeça do usuário. Mas a moda de tais dispositivos apareceu e passou: as unidades VR eram caras e não muito funcionais e, portanto, não causaram interesse em massa.
A tecnologia amadureceu apenas no segundo semestre da década de 2010. Em 2015-2016, sistemas VR como Oculus Rift (para computadores pessoais), HTC Vive (também para computadores pessoais), Sony PlayStation VR (para consoles de jogos) e Samsung Gear VR (para dispositivos móveis) apareceram no mercado. Todos eles cresceram rapidamente com dezenas ou até centenas de títulos de jogos; muitos jogos conhecidos foram finalizados e relançados especificamente para VR. Como esperado, o jogo não se limitou a jogos. Por exemplo, aplicativos especiais foram criados para o Rift para exibição de vídeos ou filmes panorâmicos em uma “tela grande” virtual. Existe uma variedade de "salas de estar virtuais" - bate-papos em VR - para todas as plataformas modernas.
Doenças hereditárias
Capacetes de realidade virtual atraíram interesse do setor industrial e de várias outras áreas profissionais, como design de engenharia, visualização, publicidade e educação. Um papel significativo também foi desempenhado pelo crescimento na velocidade da conexão com a Internet. Graças a isso, é possível a presença simultânea de um número ilimitado de usuários em um "espaço virtual". E é aí que a interferência não autorizada - “invadir a realidade virtual” - assume significado e significado práticos.
Ao mesmo tempo, a base das soluções modernas de VR é composta pelas tecnologias de computador mais comuns: os capacetes e os óculos de realidade virtual funcionam apenas em conjunto com computadores ou dispositivos móveis nos quais seus componentes de software são lançados - aplicativos criados para ambientes padrão em linguagens de programação conhecidas. E eles, como mostra a prática, são vulneráveis.
Em 2018, os especialistas em segurança Alex Radocea e Philip Pettersson
revelaram sérias vulnerabilidades no VRChat, Steam VR e High Fidelity (uma plataforma independente de VR de código aberto).
As vulnerabilidades do VRChat se mostraram especialmente desagradáveis: um invasor pode não apenas ver e ouvir tudo como um usuário legítimo, mas também alterar os componentes visuais e acústicos em movimento. Ou seja, entre outras coisas, para produzir ataques psicológicos à vítima. Além disso, um invasor pode introduzir explorações no espaço VR e, com sua ajuda, capturar o controle total ou parcial dos computadores pessoais através dos quais os usuários se conectam a esse bate-papo, incluindo espionagem e espionagem das vítimas através de webcams, microfones embutidos, etc. Para infectar um usuário, faça o login no chat VR; o malware envia convites para o mesmo bate-papo para seus contatos. Teoricamente, essa epidemia poderia abranger todos os usuários do VRChat e do Steam VR em geral.
O vídeo abaixo mostra o que a pessoa cuja aplicação VR é atacada vê:
No início de 2019, especialistas da Universidade de New Haven
descreveram o hacking de outro aplicativo popular de realidade virtual, Bigscreen, criado no mecanismo Unity. Ao explorar vulnerabilidades no próprio aplicativo e no mecanismo, o cracker tem a oportunidade de ligar o microfone embutido no computador e ouvir conversas pessoais despercebidas pelo usuário; veja tudo o que é exibido na tela da vítima, faça o download e execute programas arbitrários no computador do usuário de destino e envie mensagens em nome da vítima. Além disso, um invasor pode se conectar a qualquer sala de RV, incluindo salas privadas, enquanto permanece invisível para outros usuários; crie um malware auto-replicante que infectará todos que se conectarem à mesma "sala" na qual o "paciente nulo" já está localizado. Isso abre uma oportunidade para um invasor ciberespionar e espalhar malware, incluindo cavalos de Troia bancários e ransomware ransomware.
Do voyeurismo e infecção à espionagem cibernética e ciberterrorismo
Em uma situação em que aplicativos de RV são usados para trabalhos reais em projetos comerciais (e não para comunicação ou jogos), ataques à realidade virtual podem levar a consequências ainda mais terríveis. A escala do desastre durante uma invasão bem-sucedida será determinada por quais dados o invasor pode acessar e para que soluções de RV são usadas quando se trata de uso profissional. Um invasor pode obter acesso às contas bancárias do usuário por meio de um sistema VR? Ele pode paralisar os sistemas dos usuários com ransomware? Ele pode usar um computador com um sistema de RV como ponto de acesso para invadir a rede corporativa? Por que não, se o mesmo laptop, por exemplo, é usado tanto para entretenimento doméstico quanto no local de trabalho (já
falamos sobre outros perigos do BYOD anteriormente).
À medida que o escopo da VR se expande, o mesmo acontece com os riscos. As soluções relacionadas à realidade virtual ou aumentada (VR / AR) já são usadas na medicina (veja, por exemplo, os
projetos Luna VR Health e
XRHealth ). As soluções de VR / AR também são usadas na indústria; por exemplo,
para controlar robôs industriais (usei o Oculus Rift). É fácil imaginar quais são as consequências de um ataque a um robô por meio de um sistema de RV ou solução médica.
Novamente, independentemente do cenário do ataque em potencial, a raiz do problema está nos erros de software dos desenvolvedores. Na maioria dos casos, os invasores procuram maneiras simples: quanto mais simples a exploração da vulnerabilidade e mais danos puderem ser causados, maior a probabilidade de um ataque. No entanto, o grau de ameaça diminuirá drasticamente se os usuários forem mais escrupulosos na proteção de dispositivos finais, e os fabricantes de sistemas de RV usarem o conceito de desenvolvimento seguro ao escrever shells de software. Ou seja, aplicar proteção abrangente contra ameaças cibernéticas, que serão cada vez mais demandadas no próximo ano e além. Isso se aplica não apenas ao desenvolvimento de soluções de RV, mas também ao desenvolvimento geral de produtos de software e soluções industriais, como afirma a Trend Micro
em suas previsões . Mas essa é outra história sobre a qual podemos falar em um dos seguintes posts.