Уязвимости в Steam VR и VRChat могут привести к полной компрометации системы

С помощью неизвестных уязвимостей киберпреступники могут взломать компьютеры пользователей, просто заманив их в чат-румы популярных приложений виртуальной реальности Steam VR или VRChat.

Исследователи безопасности Алекс Радоцеа (Alex Radocea) и Филип Петтерсон (Philip Pettersson) обнаружили уязвимости в трех разных платформах виртуальной реальности, позволяющие злоумышленникам взломать компьютер. Проблемы были выявлены в VRChat, функции виртуального дома Valve Steam VR и платформы с открытым исходным кодом High Fidelity.

«Когда вас взломали в виртуальной реальности, вы в прямом смысле почувствуете это на себе. Атакующий получит доступ ко всем вашим чувствам. Он сможет видеть вашими глазами – в шлеме есть камеры. Он сможет слышать вашими ушами – в шлемах есть микрофоны. Он сможет проецировать изображение на вашу сетчатку. Он сможет видоизменять виртуальный мир по своему желанию», – пояснил Петтерсон в телефонном разговоре с журналистами Motherboard.

По словам исследователей, особенно опасна уязвимость в Steam VR и VRChat. Для ее эксплуатации атакующему достаточно лишь внедрить эксплоит в чат-рум и пригласить в него жертву. С этого момента он сможет включать ее микрофон и камеру, а также манипулировать отображаемым в шлеме контентом.

Что еще хуже, злоумышленник может создать самораспространяющегося червя, заражающего каждого посетителя чат-рума, а также приглашать в зараженные чат-румы их друзей.

Исследователи сообщили о своем открытии производителям, и уязвимости были исправлены. Тем не менее, сам факт их существования указывает на то, что производителям платформ виртуальной реальности предстоит еще многое сделать для обеспечения безопасности своих пользователей.