OpenVR漏洞可被黑客全权控制,给Rift、Vive用户造成人身伤害
根据康涅狄格州纽黑文大学最近发表的一篇论文,由Oculus和HTC生产的VR头显完全对黑客开放了大门。他们的概念验证攻击目标是OpenVR,这是一款由Valve开发并得到Vive和Rift头显支持的开源软件开发套件。结果?黑客能够改变用户看到的内容,从而对其造成人身伤害。
HTC Vive和Oculus Rift的问题是,你无法感知周围的物理环境。他们的VR设置包括在真实世界中定义你的移动区域(游玩空间)。这个定义空间由网格组成,当你靠近这个移动区域边缘时,网格将浮现以对你进行提醒。移动区域的边缘一般是墙壁,沙发,或者是适合你大幅度挥动控制器和自由移动的安全边界。
但黑客有可能会改变这个空间。比如当头显所有者在楼梯附近玩耍时,黑客可以通过修改空间范围,令用户被台阶绊倒,甚至是滚落至下一层楼。如果家庭成员正坐在沙发上观看,黑客可以通过修改游玩空间来令头显用户靠近家庭成员,如果用户开始大幅度挥动控制器,这将有可能对家庭成员造成身体伤害。
对于本次概念验证,映维网了解到研究团队将恶意软件附加到电子邮件中以感染目标PC。纽黑文大学的网络取证研究和教育组主任Ibrahim Baggili说道:“开发者在设计这一点时几乎没有安全考量,它们完全依赖于操作系统和用户的安全性。”
自然,PC本身已经设置了防止感染的安全措施,如杀毒软件和防火墙。但本次实验是针对VR平台本身,纽黑文大学的实验已经证明这可以导致什么样的后果。支持Oculus Rift和HTC Vive的软件无法阻止恶意软件通过OpenVR破解侵入。研究人员不仅可以改变护导空间的边界,而且还可以通过头显看到你能看到的一切。
HTC和Valve暂时没有发表评论,但Oculus指出,大部分Oculus Rift体验都是通过不包含OpenVR的Oculus Store上提供。而且更重要的是,为Guardian导护系统增加加密功能会导致错误和“不必要的复杂性”。如果你的计算机正在受到攻击,所有数据都将面临风险,不仅仅只是VR体验。
但报告显示,这个问题不仅仅只是改变头显的视图。例如,黑客可以发现隐藏在Steam文件夹中两个可用于绕过双重身份验证的授权文件。其他文件包括用户名,端口详细信息,IP地址,以及与特定于应用的相关数据。
纽黑文大学的研究人员将于5月举行的第39届电气和电子工程师学会安全和隐私研讨会上进行完整的披露。
上一篇:抗击癌症,谷歌为医疗诊所研发AR显微镜平台ARM[ 07-15 ]
下一篇:没有了!
