黑客入侵虚拟现实，研究人员开发了流行的大屏幕虚拟现实应用

据研究人员称，易卜拉欣·巴吉利、彼得·凯西和马丁·冯德雷克，潜在的漏洞，其技术细节尚未公开，但共享黑客新闻独家报道，位于名为Bigscreen的流行虚拟现实（VR）应用程序和构建Bigscreen的Unity游戏开发平台中。

大屏幕是一款广受欢迎的虚拟现实应用程序，它将自己描述为“虚拟客厅”，让朋友们可以在虚拟世界中一起闲逛，在虚拟影院中观看电影，在大厅聊天，创建私人房间，一起合作项目，在虚拟环境中共享电脑屏幕或控制等等。

黑客会对你的虚拟现实体验造成可怕的影响

如视频所示，Bigscreen应用程序中的缺陷实际上允许研究人员远程劫持Bigscreen的web基础设施（运行在桌面应用程序后面），并通过定制的命令和控制服务器执行多种攻击场景，包括：

• 探索私人房间
• 加入任何虚拟现实房间，包括私人房间
• 在任何虚拟现实房间里都不可见的情况下窃听用户
• 实时查看虚拟现实用户的电脑屏幕
• 偷偷地接收受害者的屏幕共享、音频和麦克风音频
• 代表用户发送消息
• 从房间中删除/禁止用户
• 设置一个可以在大屏幕社区传播的自我复制蠕虫
• 还有更多

更令人担忧的是什么？除此之外，研究人员利用Unity Engine脚本API中的另一个漏洞，结合Bigscreen漏洞，甚至可以通过秘密下载和安装恶意软件或运行恶意命令来完全控制VR用户的计算机，而无需进一步交互。

大屏幕VR应用程序和Unity引擎漏洞

根据与《黑客新闻》分享的深入技术细节，所讨论的多个Bigscreen漏洞是持久/存储的跨站点脚本（XSS）问题，这些问题存在于虚拟现实用户应该在Bigscreen应用程序中提交用户名、房间名称、房间描述和房间类别的输入字段中。

由于未对易受攻击的输入框进行消毒，攻击者可能利用该漏洞在连接到大屏幕大厅和虚拟现实室的其他用户安装的应用程序上注入并执行恶意JavaScript代码。

“有效载荷脚本将在基于浏览器的玩家进入一个影响房间所有成员的房间执行。这个攻击向量允许在窗口范围内修改/调用任何变量/函数。”研究人员告诉黑客新闻。

“总之，在受害者的机器上执行JavaScript的能力允许许多其他攻击，如钓鱼弹出窗口、伪造消息和强制桌面共享”。

“我们发现，在处理私人房间加入以及与Bigscreen信令服务器的通信时，缺乏身份验证。因此，出现了几个潜在的漏洞，包括拒绝服务、操纵公共房间、暴力攻击和服务器资源耗尽”。

正如该团队所展示的那样，攻击者还可以注入恶意JavaScript有效负载，利用未经记录且具有潜在危险的Unity脚本API从互联网上秘密下载恶意软件，并在目标系统上或为所有用户执行。

“功能团结！openLink（）被发现在默认的6个浏览器中启动web链接。包含HTTP、FTP或SMB链接的XSS攻击可能会导致获取和下载任意文件，”研究人员告诉《黑客新闻》。

“我们预计，大多数使用受影响的Unity API的应用程序可能会受到攻击”。

该团队在通过国家科学基金会资助的项目测试虚拟现实系统的安全性时发现了这些漏洞。

房间里的人（米特）攻击

正如研究人员所称，“房间里的人”是黑客秘密加入虚拟现实房间，同时对同一房间的其他用户不可见的攻击场景之一。“他们看不见你，听不见你，但黑客可以听到和看到他们，就像一个看不见的偷窥者。另一层隐私被侵犯了，”网络取证研究和教育组织的创始人兼联合主任易卜拉欣·巴基利说。

该团队发现，Bigscreen应用程序使用动态加载库（DLL），而不进行完整性检查，这允许研究人员修改所选库的源代码并更改其行为，让它们使用XSS有效负载在UI中隐藏它们的存在。

研究人员说：“我们的概念验证WebRTC应用程序能够连接到合法的大屏幕应用程序。这导致了对音频/视频/麦克风/数据流一端的完全控制。我们的应用程序在虚拟现实室中是不可见的，因为它没有向其他同行发送任何数据”。

该团队负责地向Bigscreen和Unity报告了他们的发现。Bigscreen承认其“服务器和流媒体系统”中存在安全漏洞，并发布了全新的Bigscreen Beta版“2019更新”，全面修补了这些问题。

此外，Unity承认存在漏洞，只是在其文档中添加了一条注释，说明其平台“可用于打开的不仅仅是网页，因此它具有重要的安全隐患，您必须注意”。