Nápady a objevy

12. dubna 2019

Jaké nebezpečí hrozí ve virtuální realitě? Student z FIT pomohl americkým vědcům odhalit nedostatečné zabezpečení

Aplikace jako je Bigscreen používá stále více lidí. Podle výzkumníků ale jejich zabezpečení pokulhává | Autor: archiv společnosti Bigscreen

Muž v místnosti. Tak zní název nově objevené hrozby ve virtuální realitě, kterou odhalil tříčlenný tým výzkumníků na univerzitě v americkém New Havenu. Byl mezi nimi i student Fakulty informačních technologií VUT Martin Vondráček, který na connecticutské univerzitě pobýval v rámci zahraniční stáže. Kromě zcela nové hrozby přišli odborníci i na řadu dalších nedostatků v aplikacích, které umožňují trávit ve virtuální realitě čas s přáteli nebo vést obchodní jednání.

Aplikace Bigscreen umožňuje připojit se ve virtuální realitě k ostatním lidem na světě a sledovat například společně filmy, sedět u virtuálního táboráku či vést jednání v neexistující zasedací místnosti. Podle údajů společnosti používá nyní software přes půl milionu lidí po celém světě a zábavní funkci rychle začíná dohánět firemní využití. I proto se tým Ibrahima Baggiliho z univerzity v New Havenu zaměřil na bezpečnost virtuální reality a zabezpečení zmíněné aplikace. Kromě toho zkoumali i platformu Unity.

Stáž na univerzitě v New Havenu si Martin Vondráček cíleně vybral | Autor: archiv Martina Vondráčka

Právě kvůli účasti v tomto unikátním projektu, kdy se američtí výzkumníci rozhodli pustit do otestování bezpečnosti virtuální reality, přijel na univerzitu v New Havenu Martin Vondráček z FIT VUT. „Tým doktora Baggiliho se dlouhodobě ve svých projektech zaměřuje na nové a populární aplikace, které využívá velké množství lidí. V minulosti tak například zkoumali zabezpečení služby WhatsApp. Nedávno si všimli, že se stále větší popularitě těší aplikace pro virtuální realitu. Uživatelé ve virtuální realitě začínají trávit i několik hodin denně, a navíc už to neslouží pouze k zábavě, ale například i pro obchodní jednání či porady. Právě použití v podnicích je značně problematické z hlediska bezpečnosti, protože se bavíme o možnosti úniku citlivých informací a podobně,“ přiblížil Vondráček.

Spolu s kolegou Peterem Caseyem měli proto za úkol objevit možné slabiny aplikace Bigscreen a zjistit, jak může být zneužita. „Problém je, že trh s aplikacemi pro virtuální realitu je nyní hodně konkurenční. Firmy se snaží jít s novými funkcionalitami na trh co nejdřív a nemají moc času je testovat,“ dodal Martin Vondráček.

Přiznává ale, že míra zneužitelnosti aplikace byla i pro něj překvapivá. „Upřímně mě to šokovalo. Šokovalo mě, co všechno jsme byli schopni najít, i obrovský dopad, jaký by to mohlo mít. Původně jsme chtěli jen zjistit, co všechno se dozvíme o privátní komunikaci. První cíl byl tedy určit, kdo s kým interagoval. Pak jsme ale zjistili, že jsme schopni odhalit také to, jaké jsou v aplikaci uzavřené místnosti. Nejen, že jsme se do těchto skrytých místností byli schopni připojit. My jsme se dostali i ke konkrétnímu počítači, na kterém aplikace běžela,“ uvedl mladý výzkumník. V praxi to znamená, že je útočník schopen dostat se do počítače uživatelů aplikace a například v nich nainstalovat malware, aniž by o tom majitelé věděli.

Výzkumníci navíc přišli i na zcela nový typ hrozby, který nazvali Man-in-the-Room, tedy Muž v místnosti. Byli totiž schopni nepozorovaně proniknout do uzavřených místností a sledovat vše, co se v nich děje. Aniž by to ostatní účastníci věděli, mohli výzkumníci vyslechnout soukromé rozhovory i citlivé podnikové informace. „Nejtěžší bylo vymyslet, že by taková věc byla vůbec možná. Doktora Baggilho napadlo, zda je možné narušit virtuální prostor. Inspiroval nás síťový útok Man-in-the-Middle, kdy si dva účastníci konverzace myslí, že komunikují přímo spolu, ale přitom je mezi nimi někdo třetí a může konverzaci ovlivňovat,“ popsal Vondráček s tím, že přijít na to, jak útok provést, znamenalo tři měsíce nepřetržité práce. „Nejhorší je začátek, než na něco přijdete. Do té doby jen zkoušíte, zkoumáte, experimentujete. Je to hledání jehly v kupce sena, aniž byste věděli, zda vůbec nějaká jehla v seně je,“ podotkl Vondráček.

Podle něj jsou zjištění o to závažnější, že není mnoho způsobů, jak se může běžný uživatel bránit. „Aplikaci jsme měli staženou z oficiálního úložiště. Běžný uživatel tedy nemá mnoho možností, jak se proti napadení ochránit. I přesto je ale dobré dodržet standardní postup a mít staženy aktualizace, funkční antivir a chovat se obezřetně,“ dodal Vondráček.

Podle všeho už ale mohou být uživatelé o něco klidnější. Výzkumníci se totiž se svými zjištěními obrátili na společnost Bigscreen a Unity a domluvili se na rychlé nápravě bezpečnostních chyb. V aktualizacích už by tak měly být nové bezpečnostní prvky zahrnuty. „Zaručit, že je systém nyní naprosto bez chyb, samozřejmě nemůžeme, protože po změně aplikace jsme další analýzu už znovu nedělali,“ upozornil Martin Vondráček, který o tom, jak při bezpečnostní analýze postupovali, nyní píše diplomovou práci. Spolu s americkými kolegy také na stejné téma dokončuje odborný článek. Zároveň zvažuje i doktorské studium, v rámci kterého by případně rád na spolupráci s univerzitou v New Havenu navázal.

(zep)

Témata

Související články:
Za práci řešící monitoring sítí pomocí technologie FPGA získal Lukáš Kekely prestižní ocenění
Doktorandi z techniky zkoumají chování oběhové soustavy. Pomáhají jim i neuronové sítě
Hledání majitelů je teď snazší. Webový vyhledávač studentky FIT pomáhá vracet zatoulané psy domů
Matúš Nosko z FIT VUT přišel s originálním ekosystémem pro chytré domácnosti. Jeho zařízení se prodává po desítkách
Poznatky přibývají tak rychle, že není v lidských silách informace třídit, myslí si absolventka FIT VUT Drahomíra Herrmannová