Можно ли взломать «виртуальную реальность»? И если да, то зачем это делать? Ответ на первый вопрос — да, можно. Эксперты по информационной безопасности за последние годы несколько раз демонстрировали наличие серьёзных уязвимостей в популярных VR-разработках, отмечая, что злоумышленники могут воспользоваться ими для причинения реального вреда. Что касается ответа на вопрос «зачем», то он зависит от сферы применения «виртуальной реальности».

Сейчас наблюдается, условно говоря, «третья волна» VR. Само понятие «виртуальная реальность» в его современном варианте сделалось популярным в 1980-е. Однако к тому времени уже существовали и развлекательные проекты, такие как Sensorama или «Дамоклов меч» (The Sword of Damocles — первый шлем виртуальной реальности, примитивный по возможностям и удручающе громоздкий), и многочисленные VR-разработки, применявшиеся в профессиональных сферах — медицине, авиации, инженерном проектировании и т.д. С разной степенью эффективности разрабатывались и внедрялись военные тренажёры, в том числе авиационные.

Кратковременный всплеск популярности развлекательных VR-проектов случился в 1990-е: жители Москвы, вероятно, вспомнят компьютерный магазин в конце 1990-х в «Доме книги» на Новом Арбате, где за деньги можно было поиграть в старые шутеры Doom или Heretic в VR-шлеме Forte VFX1. Это большой и тяжеловесный агрегат, который поддерживал стереоскопическое изображение в 256 цветах, стереозвук и, вдобавок, был снабжён средствами слежения за положением головы пользователя. Но мода на такие устройства как появилась, так и прошла: VR-агрегаты были дорогими и не слишком функциональными, а потому массового интереса не вызвали.

Технология дозрела лишь во второй половине 2010-х. В 2015-2016 годах на рынке появились такие VR-системы как Oculus Rift (для персональных компьютеров), HTC Vive (также для персональных компьютеров), Sony PlayStation VR (для игровых консолей) и Samsung Gear VR (для мобильных устройств). Все они очень быстро обросли десятками, а то и сотнями игровых наименований; многие уже хорошо известные игры были доработаны и переизданы специально под VR. Играми дело ожидаемо не ограничилось. Например, для Rift созданы специальные приложения для просмотра панорамных видео или кинофильмов на виртуальном «большом экране». Разнообразные «виртуальные гостиные» — VR-чаты — существуют для всех современных платформ.

Наследственные заболевания

Шлемы виртуальной реальности привлекли интерес со стороны промышленного сектора и нескольких других профессиональных областей, таких как инженерное проектирование, визуализация, реклама, образование. Немалую роль сыграл и рост скорости интернет-соединения. Благодаря этому возможно одновременное присутствие неограниченного количества пользователей в одном «виртуальном пространстве». И вот как раз тут несанкционированное вмешательство — «взлом виртуальной реальности» — приобретает практические смысл и значение.

При этом основу современных VR-решений составляют самые обычные компьютерные технологии: VR-шлемы и очки работают только в связке с потребительскими компьютерами или мобильными устройствами, на которых и запускаются их программные компоненты — приложения, написанные под стандартные среды на общеизвестных языках программирования. А они, как показывает практика, уязвимы.

В 2018 году эксперты по безопасности Алекс Радосиа (Alex Radocea) и Филип Петтерссон (Philip Pettersson) продемонстрировали наличие вполне серьёзных уязвимостей в VR-приложениях VRChat, Steam VR и High Fidelity (независимая VR-платформа с открытыми исходниками).

Уязвимости VRChat оказались особенно неприятными: взломщик может не только видеть и слышать всё то же, что и легитимный пользователь, но и менять на ходу визуальную и акустическую составляющую. То есть, помимо прочего, производить психологические атаки на жертву. Сверх этого злоумышленник мог внедрять в VR-пространство эксплойты и с их помощью захватывать полный или частичный контроль над персональными компьютерами, через которые пользователи подключались к этому чату, в том числе подсматривать и подслушивать за жертвами через веб-камеры, встроенные микрофоны и т.д. Для заражения пользователю достаточно зайти в VR-чат; вредоносная программа затем рассылает приглашения в тот же чат его контактам. Чисто теоретически, такая эпидемия могла накрыть вообще всех пользователей VRChat и Steam VR.

На видео по ссылке показано, что видит человек, чьё VR-приложение атаковано.

В начале 2019 года эксперты из Университета Нью-Хэйвена описали взлом ещё одного популярного VR-приложения, Bigscreen, созданного на движке Unity. Эксплуатируя уязвимости в самом приложении и в движке, взломщик получает возможность незаметно для пользователя включать встроенный в компьютер микрофон и подслушивать личные разговоры; видеть всё, что отображается на дисплее жертвы, загружать и запускать произвольные программы на компьютере целевого пользователя и отправлять от лица жертвы сообщения. Плюс к этому злоумышленник может подключаться к любым VR-комнатам, включая сугубо приватные, оставаясь невидимым для остальных пользователей; создавать самовоспроизводящуюся вредоносную программу, которая будет заражать всех, подключившихся к той же «комнате», в которой уже находится «нулевой пациент». Это открывает злоумышленнику широкие возможности для кибершпионажа и распространения вредоносных программ, включая банковские троянцы и шифровальщики-вымогатели.

От вуайеризма и заражения к кибершпионажу и кибертерроризму

В ситуации, когда VR-приложения используются для реальной работы над коммерческими проектами (а не для общения или игр), атаки на виртуальную реальность могут привести к еще более плачевным последствиям. Масштабы бедствия при успешном взломе будут определяться тем, к каким данным злоумышленник может подобраться, и для чего VR-решения используются, если речь идёт о профессиональном применении. Может злоумышленник получить доступ к банковским счетам пользователей через VR-систему? Может ли он парализовать пользовательские системы с помощью шифровальщиков? Может ли он использовать компьютер с VR-системой в качестве точки доступа для вторжения в корпоративную сеть? Почему нет, если один и тот же ноутбук, например, используется и для домашних развлечений, и на рабочем месте (об иных опасностях BYOD можно посмотреть здесь).

По мере того, как расширяется сфера применения VR, растут и риски. Решения, связанные с виртуальной или расширенной реальностью (VR/AR) уже используются в медицине (см, например, проекты Luna VR Health и XRHealth). VR/AR-решения также находят применение в промышленности; например, для управления промышленными роботами (используется как раз Oculus Rift). Нетрудно представить себе, какие последствия повлечёт атака на робота через VR-систему или медицинское решение.

Повторимся, что вне зависимости от сценария потенциальной атаки, корень проблемы лежит в программных ошибках разработчиков. Злоумышленники в большинстве случаев ищут простые пути: чем проще эксплуатация уязвимости и чем больше вреда можно причинить, тем выше вероятность атаки. Однако степень угрозы резко снизится, если пользователи будут с большей щепетильностью относиться к защите конечных устройств, а производители VR-систем — применять концепцию безопасной разработки при написании программных оболочек. То есть применять комплексную защиту от киберугроз, которая будет всё больше востребована в наступающем году и далее. Это касается не только разработки VR-решений, но и в целом разработки программных продуктов и промышленных решений, о чём Trend Micro говорит в своём прогнозе. Но это уже другая история, о которой, возможно, будет рассказано в дальнейшем.

Источник