Student Martin Vondráček z Fakulty informačních technologií Vysokého učení technického v Brně (FIT VUT) byl členem skupiny UNHcFREG, která se zabývala počítačovou bezpečností populárních technologií pro virtuální realitu (VR). Tématem, kterým se student z FIT VUT s kolegy Peterem Caseym a dr. Ibrahimem Baggilim zabýval, byla počítačová bezpečnost populárních technologií pro virtuální realitu, zejména aplikace určené k sociálnímu využití.
Extrémní nárůst výkonu a velmi přijatelné ceny dělají virtuální realitu nyní dostupnou i pro běžného uživatele. Virtuální realita je tak rozšiřující se oblast, která nachází stále více oblastí využití. Zařízení pro virtuální realitu je dnes na trhu široká nabídka od propracovaných systémů k výkonným počítačům a herním konzolím, které zahrnují headset (VR brýle), ovladače do rukou a senzory pohybu po reálné místnosti, až po jednodušší ale levnější systémy, které umožňují například pouze připevnění obrazovky telefonu k očím.
,,Řada dodavatelů software usiluje o vydání jejich produktů na trh v nejkratší možné době. Avšak bohužel, v tomto tvrdém konkurenčním prostředí vývojářské společnosti často nevěnují dostatečnou pozornost zabezpečení svých produktů. Jedná se o závažnou věc, protože VR aplikace jsou využívány nejen pro zábavu, ale i pro práci a sociální interakci, kde jsou významné obavy o zajištění důvěrnosti," vysvětluje pro Security magazín Vondráček.
V široce používaném systému pro VR, který má více než 500 000 uživatelů, pak objevil Vondráček s kolegy Peterem Caseym a dr. Ibrahimem Baggilim významné bezpečnostní slabiny. Byla také nalezena bezpečnostní chyba v jedné z platforem pro VR aplikace. Během výzkumného pobytu se Vondráčkovi podařilo vytvořit ukázkové útoky demonstrující kritický dopad těchto zranitelností. Výzkumná skupina detekovala zranitelnosti, které by útočníkům mimo jiné umožnily:
- odposlouchávat mikrofon a sledovat obrazovku počítače napadených uživatelů bez jejich vědomí
- přes internet získat kontrolu nad počítači uživatelů
- distribuovat malware
Zmiňované bezpečnostní chyby se týkají konkrétně aplikace Bigscreen. Jde o populární aplikaci pro virtuální realitu, která nabízí využití pro volný čas a sociální aktivity jako je například společné hraní her ve VR nebo společné sledování filmů ve VR. Aplikace je ale také využívána v pracovním prostředí ke spolupráci a meetingům ve virtuální realitě například týmy, které mají jednotlivé pracovníky vzdálené od sebe Pomocí ovladačů v rukou a VR brýlí se pak uživatelé naprosto ponoří do virtuálního prostředí. Uvnitř virtuální reality se tak mohou setkávat lidé z různých částí světa. Firma může udělat důležitou poradu uvnitř VR ve virtuální kanceláři nebo například skupina přátel se může setkat u virtuálního ohniště v přírodě.
Nebezpečí, které Vondráček se svými kolegy odhalili, je možnost vytvoření infikujícího počítačového červa. Chyby zabezpečení umožňovaly totiž vytvořit škodlivý kód, který infikuje počítač uživatele zmiňované aplikace, ovládne ho a ohlásí se zpět útočníkovi. Infikovaný uživatel aplikace Bigscreen pak ale nevědomě dál útočí na ostatní uživatele bez přičinění původního útočníka. ,, Infikující červ se pak replikuje na další uživatele aplikace a šíří se tak napříč komunitou aplikace. Taková chyba umožňovala vytvoření potenciálního botnetu, kdy je útočník schopen ovládat velké množství infikovaných počítačů," uvedl pro Security magazín Vondráček.
Nakonec se Vondráček s týmem zaměřili na zabezpečení samotné virtuální místnosti. Byla tak odhalena slabina, která umožňovala být ve virtuálním prostoru neviditelný. Útočník je díky němu schopen se dostat do soukromých virtuálních místností a být pro ostatní účastníky neviditelný. Co to v praxi znamená? Útočník byl schopen vstoupit do libovolné i uzavřené soukromé místnosti a zůstat pro ostatní neviditelný. Mohl se v místnosti nerušeně pohybovat a pozorovat a poslouchat akce ostatních uživatelů bez jejich vědomí. Vondráček to přirovnává k neviditelnému plášti ze série Harry Potter. K tomu student FIT VUT dodává, že aplikace Bigscreen má využití mimo jiné pro pracovní jednání, nebo je používána i ve vztazích na dálku.
Martin Vondráček se výzkumu v USA věnoval tři měsíce v létě 2018. Výzkumný výjezd z Vysokého učení technického v Brně na University of New Haven byl podpořen z programu Freemovers. Nyní dokončuje magisterské studium a o výzkumu píše diplomovou práci společně s vědeckým článkem.