回归最本质的信息安全

;

虚拟世界也被黑客侵略了,VR应用程序出现严重漏洞

2018年1月29日发布

47,518
0
4

导语:今天我谈论的是一个虚拟世界里的网络安全问题,有人说过,VR应用是继互联网之后的另一个新时代。不过,就目前而言,虚拟世界也免不了互联网世界里的攻击灾难。比如,黑客通过插入虚拟泄漏,让不安全的VR应用程序盗窃用户数据。

shutterstock_644133529-900x506.jpg

今天我谈论的是一个虚拟世界里的网络安全问题,有人说过,VR应用是继互联网之后的另一个新时代。不过,就目前而言,虚拟世界也免不了互联网世界里的攻击灾难。比如,黑客通过插入虚拟泄漏,让不安全的VR应用程序盗窃用户数据。

其实,以前我也谈论过虚拟、增强以及混合现实里可能出现的安全问题,不过没有找到实证。但现在可以肯定的是,我在一个VR色情应用SinVR中发现了第一个潜在的重大VR应用程序安全漏洞,目前大约有两万人的用户数据遭到泄露。

SinVR漏洞介绍

目前,VR色情应用SinVR的安全漏洞问题现已被修复,据SinVR母公司InVR Inc透露,目前这个漏洞已经被修复,公司也已经从中吸取了教训。

色情应用经常被恶意软件攻击,所以,如果你喜欢手机上的色情内容,或者是VR色情迷,那么请务必确认设备的安全。

SinVR是专为用户提供“私人地牢”的色情VR游戏。英国安全公司Digital Disruption在SinVR应用中发现了一个高危漏洞,有高达两万名的用户隐私被泄露在网上。黑客可以使用公开的SinVR账户,进一步发掘用户的真实姓名、电子邮件地址和设备名称,以及使用PayPal的交易信息。

Digital Disruption表示:

黑客不仅可以利用这个漏洞来执行社交工程攻击,而且由于应用属于色情性质,一些用户甚至可能因这些泄露的信息被勒索。

据SinVR母公司InVR Inc透露,目前这个漏洞已经被修复,公司也已经从中吸取了教训。

SinVR的一位发言人表示:

在Digital Disruption公布这个漏洞之后,我们就立即解决了问题。为让此漏洞真正被利用,目前我们已与Digital Disruption联系,确认这个漏洞已经被关闭了。

漏洞的发现过程

Digital Disruption是在逆向SinVR应用程序时,发现他们可以对端点进行未经验证的调用,这要感谢一个看起来好像允许SinVR下载所有用户列表的函数。虽然他们不得不通过应用程序修改二进制文件,但虚拟设备完全不会对测试者进行端点调用的验证。

漏洞的出现是必然的

如果我们回想一下索尼手游开始流行时,所发生的那些攻击事件。当时随着手游的出现和流行,游戏公司就成了黑客的攻击目标,包括硬件攻击,窃取数据库,篡改游戏服务器以及其他各种恶意行为。当时,由于手游也是新出现的事物,所以,很显然,许多游戏公司还没有考虑到安全防护这一层。不过,随着手游的普及,安全性也很快跟上了。

然而,虚拟现实技术是一个崭新的世界,有许多新的VR公司可能在几年前就是做游戏的。这很容易理解,因为VR的主要应用场景之一就是让用户有更真实的游戏感受。虽然VR在影视和广告领域的发展前景也很大,但很明显用户数的增长速度非常慢。

另外,虚拟现实开发的门槛一直在降低,在网上可以找到价格合理的“DIY”工具包,让任何人都可以开始编码VR游戏。对于这些开发者来说,将游戏的利益最大化才是最终目标,至于游戏和数据库的安全,谁会在意?

SinVR漏洞很可能是VR安全的冰山一角,但它却证明了新世界依然需要参考一下旧世界的秩序。不过幸运的是,此次漏洞还好是安全公司处于研究的需要发现的,并没有造成什么实际威胁。

本文翻译自:https://blog.malwarebytes.com/cybercrime/2018/01/insecure-vr-app-exposes-customer-data/ ,如若转载,请注明原文地址: http://www.4hou.com/vulnerable/10132.html

点赞 4
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

luochicun

这个人很懒,什么也没留下

发私信

发表评论