Výzkum: Bezpečnostní chyby v aplikacích pro virtuální realitu

Bigscreen

Muž v místnosti. Tak zní název nově objevené hrozby ve virtuální realitě, kterou odhalil tříčlenný tým výzkumníků na univerzitě v americkém New Havenu. Byl mezi nimi i student Fakulty informačních technologií VUT Martin Vondráček, který na connecticutské univerzitě pobýval v rámci zahraniční stáže. Kromě zcela nové hrozby přišli odborníci i na řadu dalších nedostatků v aplikacích, které umožňují trávit ve virtuální realitě čas s přáteli nebo vést obchodní jednání.

Aplikace Bigscreen umožňuje připojit se ve virtuální realitě k ostatním lidem na světě a sledovat například společně filmy, sedět u virtuálního táboráku či vést jednání v neexistující zasedací místnosti. Podle údajů společnosti používá nyní software přes půl milionu lidí po celém světě a zábavní funkci rychle začíná dohánět firemní využití. I proto se tým Ibrahima Baggiliho z univerzity v New Havenu zaměřil na bezpečnost virtuální reality a zabezpečení zmíněné aplikace. Kromě toho zkoumali i platformu Unity.

Právě kvůli účasti v tomto unikátním projektu, kdy se američtí výzkumníci rozhodli pustit do otestování bezpečnosti virtuální reality, přijel na univerzitu v New Havenu Martin Vondráček z FIT VUT. Spolu s kolegou Peterem Caseyem měli proto za úkol objevit možné slabiny aplikace Bigscreen a zjistit, jak může být zneužita. Míra zneužitelnosti aplikace byla pro všechny překvapivá, v praxi to znamená, že je útočník schopen dostat se do počítače uživatelů aplikace a například v nich nainstalovat malware, aniž by o tom majitelé věděli.

Výzkumníci navíc přišli i na zcela nový typ hrozby, který nazvali Man-in-the-Room, tedy Muž v místnosti. Byli totiž schopni nepozorovaně proniknout do uzavřených místností a sledovat vše, co se v nich děje. Aniž by to ostatní účastníci věděli, mohli výzkumníci vyslechnout soukromé rozhovory i citlivé podnikové informace.

Výzkumníci se se svými zjištěními obrátili na společnost Bigscreen a Unity a domluvili se na rychlé nápravě bezpečnostních chyb. V aktualizacích už by tak měly být nové bezpečnostní prvky zahrnuty. „Zaručit, že je systém nyní naprosto bez chyb, samozřejmě nemůžeme, protože po změně aplikace jsme další analýzu už znovu nedělali,“ upozornil Martin Vondráček, který o tom, jak při bezpečnostní analýze postupovali, nyní píše diplomovou práci. Spolu s americkými kolegy také na stejné téma dokončuje odborný článek. Zároveň zvažuje i doktorské studium, v rámci kterého by případně rád na spolupráci s univerzitou v New Havenu navázal.

Zdroj: zvut.cz

Související články

Leave a Comment