是否有可能破解“虚拟现实”? 如果是这样,那为什么呢? 第一个问题的答案是肯定的,这是可能的。 过去几年中,信息安全专家已经证明了流行的VR开发中存在严重漏洞,并指出攻击者可以使用它们造成真正的伤害。 至于“为什么”的答案,取决于“虚拟现实”的范围。相对而言,现在观察到VR的“第三波”。 现代形式的“虚拟现实”这一概念在1980年代开始流行。 但是,到那时,已经有一些娱乐性的项目,例如Sensorama或“达摩克利斯之剑”(虚拟现实的第一个头盔,功能原始且令人沮丧的笨拙),并且在专业领域使用了众多VR开发-医学,包括航空仿真器在内的军事仿真器的开发和实施具有不同程度的有效性。
VR娱乐项目的受欢迎程度在短期内激增:1990年代末,莫斯科居民可能还记得1990年代后期在Novy Arbat的Book House上的一家电脑商店,在那里他们可以用VR头盔玩旧的《毁灭战士》或《异端》射击游戏,以赚钱复地VFX1。 这是一个大型且重量级的装置,支持256种颜色的立体图像,立体声,此外还配备了用于跟踪用户头部位置的装置。 但是这种设备的流行趋势已经过去并过去了:VR装置价格昂贵,功能也不强,因此并没有引起人们的广泛关注。
技术仅在2010年代下半年才成熟。 在2015-2016年间,市场上出现了诸如Oculus Rift(用于个人计算机),HTC Vive(也用于个人计算机),Sony PlayStation VR(用于游戏机)和Samsung Gear VR(用于移动设备)等VR系统。 所有这些游戏很快都被数十甚至数百个游戏游戏所淹没; 许多知名游戏已经完成并专门针对VR重新发布。 不出所料,该游戏不仅限于游戏。 例如,已经为Rift创建了特殊的应用程序,用于在虚拟“大屏幕”上观看全景视频或电影。 适用于所有现代平台的各种“虚拟客厅”(VR聊天)。
遗传性疾病
虚拟现实头盔吸引了工业界和其他几个专业领域的兴趣,例如工程设计,可视化,广告,教育。 Internet连接速度的提高也发挥了重要作用。 因此,可以在一个“虚拟空间”中同时存在无限数量的用户。 这就是未经授权的干预-“入侵虚拟现实”的现实意义和意义所在。
同时,现代VR解决方案的基础是由最常见的计算机技术组成的:VR头盔和眼镜只能与消费类计算机或启动了其软件组件的移动设备结合使用-使用标准编程语言为标准环境编写的应用程序。 正如实践所示,它们很脆弱。
2018年,安全专家Alex Radocea和Philip Pettersson
透露了VRChat,Steam VR和High Fidelity(独立的开源VR平台)中的严重漏洞。
事实证明,VRChat的漏洞特别令人不快:攻击者不仅可以看到和听到与合法用户相同的内容,而且可以随时随地更改视觉和听觉组件。 那就是,除其他外,对受害者产生心理攻击。 最重要的是,攻击者可以将漏洞利用引入VR空间,并借助其帮助捕获对个人计算机的全部或部分控制,用户可以通过此计算机连接到此聊天,包括通过网络摄像头,内置麦克风等对受害者进行监视和窃听。要感染用户,只需登录VR聊天; 然后,该恶意软件会向其联系人发送同一聊天的邀请。 从理论上讲,这种流行病一般可以覆盖所有VRChat和Steam VR用户。
下面的视频显示了受VR应用程序攻击的人所看到的:
在2019年初,来自纽黑文大学的专家
描述了黑客入侵另一个在Unity引擎上创建的流行VR应用程序Bigscreen。 通过利用应用程序本身和引擎中的漏洞,破解者可以为用户隐形打开计算机内置的麦克风并窃听个人对话。 查看受害者显示屏上显示的所有内容,下载并在目标用户的计算机上运行任意程序,并代表受害者发送消息。 另外,攻击者可以连接到任何VR房间,包括纯私有房间,而其他用户看不见; 创建一个自我复制的恶意软件,该恶意软件将感染连接到已经存在“空患者”的同一“房间”的每个人。 这为攻击者提供了进行网络间谍活动和传播恶意软件的机会,其中包括银行木马和勒索软件勒索软件。
从偷窥和感染到网络间谍和网络恐怖主义
在VR应用程序用于商业项目的真实工作(而不是通信或游戏)的情况下,对虚拟现实的攻击可能导致更可怕的后果。 成功黑客入侵期间的灾难规模将取决于攻击者可以获取哪些数据,以及在专业用途上使用何种VR解决方案。 攻击者可以通过VR系统访问用户银行帐户吗? 它可以用勒索软件使用户系统瘫痪吗? 他可以使用带有VR系统的计算机作为入侵企业网络的访问点吗? 为什么不这样做,例如,如果将同一台笔记本电脑既用于家庭娱乐又用于工作场所(我们早些时候已经
讨论过BYOD的其他危险)。
随着VR范围的扩大,风险也会随之增加。 与虚拟或增强现实(VR / AR)相关的解决方案已在医学中使用(例如,请参阅
Luna VR Health和
XRHealth项目 )。 VR / AR解决方案也用于工业中; 例如,
用于控制工业机器人 (仅用于Oculus Rift)。 容易想象通过VR系统或医疗解决方案对机器人的攻击会带来什么后果。
同样,无论潜在攻击的情况如何,问题的根源都在于开发人员的软件错误。 在大多数情况下,攻击者寻求简单的方法:漏洞利用越简单,造成的损失越大,则攻击的可能性就越高。 但是,如果用户更加谨慎地保护终端设备,威胁的程度将大大降低,并且VR系统的制造商在编写软件外壳时会使用安全开发的概念。 就是说,要应用全面的保护措施来抵御网络威胁,在未来的一年及以后,这一需求将越来越大。 正如趋势科技
在其预测中所说
,这不仅适用于VR解决方案的开发,而且适用于软件产品和工业解决方案的整体开发。 但这是我们可能在以下一篇文章中谈论的另一个故事。