標籤:

虛擬世界也被黑客侵略了,VR應用程序出現嚴重漏洞

今天我談論的是一個虛擬世界裡的網路安全問題,有人說過,VR應用是繼互聯網之後的另一個新時代。不過,就目前而言,虛擬世界也免不了互聯網世界裡的攻擊災難。比如,黑客通過插入虛擬泄漏,讓不安全的VR應用程序盜竊用戶數據。

其實,以前我也談論過虛擬、增強以及混合現實里可能出現的安全問題,不過沒有找到實證。但現在可以肯定的是,我在一個VR色情應用SinVR中發現了第一個潛在的重大VR應用程序安全漏洞,目前大約有兩萬人的用戶數據遭到泄露。

SinVR漏洞介紹

目前,VR色情應用SinVR的安全漏洞問題現已被修復,據SinVR母公司InVR Inc透露,目前這個漏洞已經被修復,公司也已經從中吸取了教訓。

色情應用經常被惡意軟體攻擊,所以,如果你喜歡手機上的色情內容,或者是VR色情迷,那麼請務必確認設備的安全。

SinVR是專為用戶提供「私人地牢」的色情VR遊戲。英國安全公司Digital Disruption在SinVR應用中發現了一個高危漏洞,有高達兩萬名的用戶隱私被泄露在網上。黑客可以使用公開的SinVR賬戶,進一步發掘用戶的真實姓名、電子郵件地址和設備名稱,以及使用PayPal的交易信息。

Digital Disruption表示:

黑客不僅可以利用這個漏洞來執行社交工程攻擊,而且由於應用屬於色情性質,一些用戶甚至可能因這些泄露的信息被勒索。

據SinVR母公司InVR Inc透露,目前這個漏洞已經被修復,公司也已經從中吸取了教訓。

SinVR的一位發言人表示:

在Digital Disruption公布這個漏洞之後,我們就立即解決了問題。為讓此漏洞真正被利用,目前我們已與Digital Disruption聯繫,確認這個漏洞已經被關閉了。

漏洞的發現過程

Digital Disruption是在逆向SinVR應用程序時,發現他們可以對端點進行未經驗證的調用,這要感謝一個看起來好像允許SinVR下載所有用戶列表的函數。雖然他們不得不通過應用程序修改二進位文件,但虛擬設備完全不會對測試者進行端點調用的驗證。

漏洞的出現是必然的

如果我們回想一下索尼手游開始流行時,所發生的那些攻擊事件。當時隨著手游的出現和流行,遊戲公司就成了黑客的攻擊目標,包括硬體攻擊,竊取資料庫,篡改遊戲伺服器以及其他各種惡意行為。當時,由於手游也是新出現的事物,所以,很顯然,許多遊戲公司還沒有考慮到安全防護這一層。不過,隨著手游的普及,安全性也很快跟上了。

然而,虛擬現實技術是一個嶄新的世界,有許多新的VR公司可能在幾年前就是做遊戲的。這很容易理解,因為VR的主要應用場景之一就是讓用戶有更真實的遊戲感受。雖然VR在影視和廣告領域的發展前景也很大,但很明顯用戶數的增長速度非常慢。

另外,虛擬現實開發的門檻一直在降低,在網上可以找到價格合理的「DIY」工具包,讓任何人都可以開始編碼VR遊戲。對於這些開發者來說,將遊戲的利益最大化才是最終目標,至於遊戲和資料庫的安全,誰會在意?

SinVR漏洞很可能是VR安全的冰山一角,但它卻證明了新世界依然需要參考一下舊世界的秩序。不過幸運的是,此次漏洞還好是安全公司處於研究的需要發現的,並沒有造成什麼實際威脅。

本文翻譯自:blog.malwarebytes.com/c ,如若轉載,請註明原文地址: 4hou.com/vulnerable/101 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

谷歌為 iOS 版 Gmail 加入反釣魚功能,幫助用戶識別可疑鏈接
SecWiki周刊(第142期)
世界上最大的兩個地下網路市場AlphaBay與Hansa 相繼被關閉,創辦者自殺
【RSA2017專題】盤點RSA 2017展台上的那些威脅情報產品

TAG:信息安全 |