Kalendář
  • 3.8.2019Black Hat USA
  • 8.8.2019DEF CON
  • 21.8.2019Chaos Communication Camp 2019
  • 9.9.2019SANS Network Security 2019
AEC v1.0.4

Kyber bezpecnost
@Kyberbezpecnost.cz

Bezpečnostní slabiny v technologiích pro virtuální realitu ohrozily přes 500 000 počítačů

17. 5. 2019

Tým z výzkumné skupiny UNHcFREG prověřil zabezpečení populárních technologií pro virtuální realitu. Podařilo se odhalit kritické bezpečnostní chyby v sociální aplikaci Bigscreen (přes půl milionu uživatelů) a v platformě Unity (až tři miliardy zařízení). Zranitelnosti by potenciálním útočníkům umožnily odposlouchávat mikrofon a sledovat obrazovku, ale také dokonce ovládnout počítač obětí. Výzkumníkům se dále podařilo vytvořit nový kyberútok Man-in-the-Room. Chyby byly zodpovědně nahlášeny a v tuto chvíli již mají být opraveny.

Na University of New Haven v americkém státě Connecticut působí skupina výzkumníků v oblasti kybernetické bezpečnosti. Skupina University of New Haven Cyber Forensics Research & Education Group / Lab (zkráceně UNHcFREG) se zaměřuje na aktuální technologie a široce používaný software. Například v minulém roce výzkumníci uskutečnili prověření zabezpečení aplikací pro správu kryptoměn a zabezpečení chytrých hodinek. Z pohledu forenzní vědy se například zabývali tím, jaké stopy o činnosti pachatele je možné zjistit z mobilních telefonů, zařízení Internet of Things a vybavení chytrých domácností. Jeden z výzkumných projektů se zaměřoval právě na forenzní a bezpečnostní analýzu technologií pro virtuální realitu (VR). Za účastí na tomto projektu do USA vycestoval Martin Vondráček z Fakulty informačních technologií Vysokého učení technického v Brně.

Virtuální realita se dnes používá nejen pro zábavu a sociální interakci, ale i pro pracovní účely. Vědci se proto zaměřili konkrétně na aplikaci Bigscreen, která má přes půl milionu uživatelů a funguje na principu virtuálních místností. Uživatel si nasadí headset, do rukou si vezme ovladače a pohybuje se v reálném prostoru. Veškeré jeho akce se přenáší do virtuální místnosti, kde se uživatel nachází ve formě 3D postavy. Aplikace Bigscreen se využívá jako místo k setkávání, společnému sledování filmů, pro virtuální LAN párty, ale i pro produktivitu, spolupráci a telekonference ve VR. Virtuální místnosti mohou existovat jako veřejné, nebo uzavřené (soukromé). Aplikace je k dispozici zdarma a její Beta verze byla zveřejněna už v roce 2016. Od té doby se vývojáři snaží ji neustále vylepšovat a přidávat další funkce. Jak ale bezpečnostní analýza prověřila, při rychlém tempu vývoje a silném soupeření s konkurencí nezbývá dostatek prostoru pro důslednou kontrolu zabezpečení uveřejněných aplikací.

Aplikace Bigscreen má přes 500 000 uživatelů a nachází využití k zábavě, ale také k práci a pro telekonference ve virtuálním prostředí. Zdroj: https://bigscreenvr.com/press/

Analýza objevila narušení soukromí uživatelů, ale také nový typ kybernetického útoku

Zmiňovanou bezpečnostní analýzu provedli na University of New Haven výzkumníci Martin Vondráček, Peter Casey a Ibrahim Baggili. Při výzkumu zmapovali chování aplikace a stopy, které zanechává na disku. Následně se zaměřili na analýzu síťového provozu, dešifrování komunikace, reverzní inženýrství použitého proprietárního protokolu, penetrační testování ze síťové strany, ale i penetrační testování a reverzní inženýrství samotné klientské aplikace. Výzkumníkům se podařilo objevit několik bezpečnostních chyb v aplikaci Bigscreen a následně také kritickou zranitelnost v platformě Unity.

Nový kybernetický útok Man-in-the-Room umožňuje narušení soukromých virtuálních místností. Neviditelný útočník (dole) špehuje v uzavřené virtuální místnosti nic netušícího uživatele (nahoře).
Zdroj: aplikace Bigscreen

Aby bylo možné správně posoudit závažnost objevených zranitelností, kromě společné bezpečnostní analýzy se následně Vondráček zaměřil ještě na vytvoření ukázkových útoků. Zjištěním bylo, že slabiny by potenciálním útočníkům umožnily:

  • Přes internet odposlouchávat mikrofon a sledovat obrazovku počítače uživatele, který používá tuto aplikaci. Kdyby tyto slabiny objevili hackeři se špatnými úmysly, mohli by tak sledovat veškeré dění uvnitř veřejných, ale i soukromých místností.
  • Neoprávněně vstoupit do virtuálních místností včetně soukromých.
  • Podvrhnout zprávy a psát je jménem jiného uživatele v místnosti.
  • Spouštět programy, procházet dokumenty a adresáře na disku, ale dokonce i přes internet donutit počítač oběti stáhnout a spustit malware. Tímto způsobem bylo možné ovládnout počítače obětí.
  • Vytvořit počítačového červa, který se šířil při kontaktu ve virtuálním prostředí. Tento škodlivý červ využíval objevené zranitelnosti k napadání uživatelů, replikoval se a předával kontrolu nad počítačem do rukou útočníkova command-and-control serveru.
  • S vybavením pro VR se potenciální útočníci mohli nepozorovaně připojit do soukromých místností a díky kombinaci několika objevených zranitelností mohli zůstat pro ostatní neviditelní. Ostatní uživatelé neměli o přítomnosti narušitele ani tušení. Tento nový kyberútok Man-in-the-Room je jako neviditelný plášť pro VR. Během soukromé konverzace a důvěrného firemního jednání se mohli útočníci doslova dívat přes rameno obětí.

Objevené zranitelnosti a jednotlivé vytvořené útoky detailněji ilustruje následující video:

Výzkumníci slabiny nezneužili, ale zodpovědně je nahlásili vývojářům

Po dokončení bezpečnostní analýzy kontaktovala výzkumná skupina UNHcFREG společnosti Bigscreen a Unity Technologies. Všechny nalezené bezpečnostní slabiny a možnosti jejich zneužití byly nahlášeny. Vzhledem k procesu responsible disclosure se strany domluvily na časovém plánu, do kdy budou výsledky tohoto výzkumu neveřejné a kdy budou chyby opraveny. Díky úsilí týmu ve složení Martin Vondráček, Peter Casey a Ibrahim Baggili byly úspěšně odhaleny nebezpečné slabiny aplikace Bigscreen s více než půl milionem uživatelů a také slabina platformy Unity s až třemi miliardami zařízení.


Autorem článku je Martin Vondráček, který je i autorem popisovaného výzkumu. Kromě kybernetické bezpečnosti se věnuje počítačovým sítím a vývoji software. Vondráček působil na University of New Haven jako Visiting Scholar.

Share Button

Komentáře