Agent nasazený do vaší virtuální schůzky. Brněnský student odhalil s kolegy nový typ nebezpečného kyberútoku

Agent nasazený do vaší virtuální schůzky. Brněnský student odhalil s kolegy nový typ nebezpečného kyberútoku
18 / 03 / 2019, 11:00


Student Martin Vondráček z Fakulty informačních technologií Vysokého učení technického v Brně (FIT VUT) byl členem skupiny UNHcFREG, která se zabývala počítačovou bezpečností populárních technologií pro virtuální realitu (VR). Tématem, kterým se student z FIT VUT s kolegy Peterem Caseym a dr. Ibrahimem Baggilim zabýval, byla počítačová bezpečnost populárních technologií pro virtuální realitu, zejména aplikace určené k sociálnímu využití.

Extrémní nárůst výkonu a velmi přijatelné ceny dělají virtuální realitu nyní dostupnou i pro běžného uživatele. Virtuální realita je tak rozšiřující se oblast, která nachází stále více oblastí využití. Zařízení pro virtuální realitu je dnes na trhu široká nabídka od propracovaných systémů k výkonným počítačům a herním konzolím, které zahrnují headset (VR brýle), ovladače do rukou a senzory pohybu po reálné místnosti, až po jednodušší ale levnější systémy, které umožňují například pouze připevnění obrazovky telefonu k očím.

,,Řada dodavatelů software usiluje o vydání jejich produktů na trh v nejkratší možné době. Avšak bohužel, v tomto tvrdém konkurenčním prostředí vývojářské společnosti často nevěnují dostatečnou pozornost zabezpečení svých produktů. Jedná se o závažnou věc, protože VR aplikace jsou využívány nejen pro zábavu, ale i pro práci a sociální interakci, kde jsou významné obavy o zajištění důvěrnosti," vysvětluje pro Security magazín Vondráček.

V široce používaném systému pro VR, který má více než 500 000 uživatelů, pak objevil Vondráček s kolegy Peterem Caseym a dr. Ibrahimem Baggilim významné bezpečnostní slabiny. Byla také nalezena bezpečnostní chyba v jedné z platforem pro VR aplikace. Během výzkumného pobytu se Vondráčkovi podařilo vytvořit ukázkové útoky demonstrující kritický dopad těchto zranitelností. Výzkumná skupina detekovala zranitelnosti, které by útočníkům mimo jiné umožnily:

- odposlouchávat mikrofon a sledovat obrazovku počítače napadených uživatelů bez jejich vědomí

- přes internet získat kontrolu nad počítači uživatelů

- distribuovat malware

Zmiňované bezpečnostní chyby se týkají konkrétně aplikace Bigscreen. Jde o populární aplikaci pro virtuální realitu, která nabízí využití pro volný čas a sociální aktivity jako je například společné hraní her ve VR nebo společné sledování filmů ve VR. Aplikace je ale také využívána v pracovním prostředí ke spolupráci a meetingům ve virtuální realitě například týmy, které mají jednotlivé pracovníky vzdálené od sebe Pomocí ovladačů v rukou a VR brýlí se pak uživatelé naprosto ponoří do virtuálního prostředí. Uvnitř virtuální reality se tak mohou setkávat lidé z různých částí světa. Firma může udělat důležitou poradu uvnitř VR ve virtuální kanceláři nebo například skupina přátel se může setkat u virtuálního ohniště v přírodě.

Nebezpečí, které Vondráček se svými kolegy odhalili, je možnost vytvoření infikujícího počítačového červa. Chyby zabezpečení umožňovaly totiž vytvořit škodlivý kód, který infikuje počítač uživatele zmiňované aplikace, ovládne ho a ohlásí se zpět útočníkovi. Infikovaný uživatel aplikace Bigscreen pak ale nevědomě dál útočí na ostatní uživatele bez přičinění původního útočníka. ,, Infikující červ se pak replikuje na další uživatele aplikace a šíří se tak napříč komunitou aplikace. Taková chyba umožňovala vytvoření potenciálního botnetu, kdy je útočník schopen ovládat velké množství infikovaných počítačů," uvedl pro Security magazín Vondráček.

Nakonec se Vondráček s týmem zaměřili na zabezpečení samotné virtuální místnosti. Byla tak odhalena slabina, která umožňovala být ve virtuálním prostoru neviditelný. Útočník je díky němu schopen se dostat do soukromých virtuálních místností a být pro ostatní účastníky neviditelný. Co to v praxi znamená? Útočník byl schopen vstoupit do libovolné i uzavřené soukromé místnosti a zůstat pro ostatní neviditelný. Mohl se v místnosti nerušeně pohybovat a pozorovat a poslouchat akce ostatních uživatelů bez jejich vědomí. Vondráček to přirovnává k neviditelnému plášti ze série Harry Potter. K tomu student FIT VUT dodává, že aplikace Bigscreen má využití mimo jiné pro pracovní jednání, nebo je používána i ve vztazích na dálku.

Martin Vondráček se výzkumu v USA věnoval tři měsíce v létě 2018. Výzkumný výjezd z Vysokého učení technického v Brně na University of New Haven byl podpořen z programu Freemovers. Nyní dokončuje magisterské studium a o výzkumu píše diplomovou práci společně s vědeckým článkem.

 

 

Tagy článku

SECURITY magazín je ve své tištěné podobě první a jediný český odborný časopis o komerční bezpečnosti a vychází od roku 1994. SECURITY magazín se orientuje především na profesionály v přímém výkonu služby v soukromých bezpečnostních agenturách a ve firmách, které poskytují technické bezpečnostní služby. Je určen také manažerům, kteří uvedené služby prodávají a řídí a bezpečnostním specialistům, kteří bezpečnostní služby nakupují v soukromém i státním sektoru. Zkušenosti a informace v SECURITY magazínu jsou ale určeny i laické veřejnosti, potenciálním zákazníkům, kteří o bezpečnosti velmi často mluví a ne vždy jí rozumí nebo chápou její specifika. SECURITY magazín chce tradiční spoluprací s akademickým prostředím a experty v oboru dokázat, že komerční bezpečnost je multioborová disciplína, úzce propojená požadavky norem a předpisů a je v mnoha ohledech založena na moderních vyspělých technologiích, které mohou instalovat a provozovat pouze vzdělaní specialisté.

Cookies nám pomáhají k Vaší spokojenosti

Tento web používá soubory cookies k poskytování služeb, personalizaci reklam a analýze návštěvnosti.
Používáním tohoto webu s tím souhlasíte.

Další informace