VR社交应用Bigscreen存在安全漏洞，黑客可执行MITR攻击

雷锋网2月22日消息，康涅狄格州West Haven大学安全研究小组发现VR社交平台Bigscreen存在严重安全漏洞。该漏洞允许攻击者在未获得玩家权限的情况下进入其虚拟现实空间，进而提升了系统被嵌入恶意程序的几率。

雷锋网了解到，《Bigscreen》是一款VR应用软件，其功能是让世界各地的玩家可以在虚拟的VR空间内共同欣赏游戏、电影以及会议聊天等内容。该应用于2016年4月在Steam上线，主要适配机型为Oculus Rift、HTC Vive和Windows Mixed Reality三款主流高端VR头显。

在该研究团队发表的一篇博客论文中，对于Bigscreen易受攻击的类型进行了分析。文章中提到，攻击者能够激活Bigscreen用户远程麦克风，监听其私人对话、查看用户的桌面屏幕，下载并安装恶意软件，甚至从他们的个人账户发送消息、传播电脑蠕虫病毒等。

以下是该研究小组提供的完整漏洞列表:

1、开启麦克风，监听私人谈话；

2、加入任何VR空间，其中也包括私密VR空间；

3、创建可复制的蠕虫病毒，其他玩家进入该用户VR空间时会被感染；

4、实时查看用户电脑屏幕；

5、代替用户发送消息；

6、在用户电脑上下载恶意软件并运行任意程序；

“从研究结果来看，攻击者可以以十分隐蔽的状态在一旁监听用户的谈话，甚至可以记录他们是如何在VR空间中与其他人实现互动的。”Baggili称：“对于用户来说，在VR空间中无法通过看或听来判断另一个人是否存在，但攻击者很有可能就在你的身边明目张胆地‘偷窥’着你。”

在VR空间中处于隐蔽状态，也被称为MITR攻击（Man-In-The-Room），这是一种基于VR程序的新型攻击手段。MITR会强制以“第二名玩家”的身份登录用户服务器，同时自动调取“隐形头像”这一功能。此外，该团队在研究中还发现了来自Unity的几个漏洞，这也有可能在Bigscreen中被显现出来。

发现漏洞之后，该研究小组第一时间向Bigscreen运营商和Uniity公司发送了报告。同时，他们也在网络上发布了安全警告，其中包括Oculus Rift和HTC Vive两大PC VR平台。2月14日，Bigscreen和Unity分别发布了安全补丁和安全警告解决了上述问题。

文章来自：VRscout