Hacker können Sie in der virtuellen Realität verfolgen

Was in der virtuellen Welt möglich ist, hängt in der Regel von der Anwendung ab, die die VR-Hardware (z. B. Oculus Rift, HTC Vive, Windows Mixed Reality) mit dem Computer verbindet und dem Benutzer den virtuellen Raum darstellt. Im virtuellen Raum kann man dann mit anderen Benutzern interagieren, in virtuellen Kinos Filme gucken, im Team an unterschiedlichen Projekten arbeiten oder in Computerspielen in gänzlich fantastische Welten abtauchen.

Die Cyber Forensics Research & Education Group an der University of New Haven in Connecticut hat die Rahmenbedingungen des Hackings in der virtuellen Realität untersucht und ist zu erschreckenden Ergebnissen gelangt. In ihrer jüngsten Studie haben sie es geschafft, sich vollen Zugriff auf die Computer von VR-Benutzern zu verschaffen, ihn im virtuellen Raum zu verfolgen, dort alles zu sehen und zu hören, und zwar ohne die Opfer dazu bringen zu müssen, Malware zu installieren, oder sonst in irgendeiner Weise auf sich aufmerksam zu machen.

Der Angriff, dem sie den Codenamen „Man-in-the-Room“ gaben, nutzte Schwachstellen in der App Bigscreen VR aus, über die sie Lobbies und Räume infizieren konnten, die von der App generiert werden und in denen sich die Benutzer treffen und versammeln; die Forscher verschafften sich Administratorrechte, über die sie Benutzer aus Räumen entfernen oder ganz blockieren konnten und ihnen sogar Nachrichten im Namen anderer Benutzer schicken konnten.

Jeder, der einen solchen Raum betrat, wurde automatisch zum nächsten Opfer: Ihr Computer wurde dem Angreifer offenbart, der dann Ordner durchstöbern, Dateien öffnen, Programme ausführen und Software herunterladen konnte. So könnte dann z. B. Malware installiert werden, die dem Angreifer dauerhaften Zugriff auf den Computer des Opfers gewährt.

Vereinfacht ausgedrückt haben die Forscher die Bigscreen-Infrastruktur vergiftet und sich somit Zugriff auf die Systeme aller Benutzer verschafft, die sich in der virtuellen Realität bewegten, egal ob in öffentlichen oder privaten Räumen. In einem kürzlich veröffentlichten Video erklärt das Forscherteam den Infektionsprozess und das Ausmaß der Kontrolle, das sie damit erreichten:

Bei einem früheren Experiment war es dem Forscherteam bereits gelungen, während eines Spiels VR-Benutzer – tatsächlich – an eine bestimmte Stelle im – physischen – Raum zu dirigieren, ohne dass diese es bemerkt hätten. Erreicht hatten sie das, indem sie die Daten, die dem Spieler Orientierung im virtuellen Raum bieten, kontinuierlich leicht veränderten.

Da sich der Spieler in der echten Welt so bewegt, wie es ihm die virtuelle Welt vorgibt, nimmt er die kleinen Schritte in die Richtung, die die Angreifer vorgeben, nicht wahr. Am Ende landet er so an einer ganz anderen Stelle als der, an der er zu Beginn des Spiels stand, und könnte sich dadurch tatsächlich in Gefahr bringen (z. B. wenn er auf ein offenes Fenster, eine Treppe oder andere Hindernisse im Raum zusteuert).

In dem Experiment nutzten die Forscher die fehlende Verschlüsselung von Guardian aus, dem Oculus-Programm, das Bewegungen in der virtuellen Welt steuert. Dazu wurde der Computer des Opfers manipuliert und zuvor jegliche Antivirensoftware deaktiviert. Den Verlauf einer Sitzung dieses Experiments sehen Sie im folgenden Video:

Die Ergebnisse dieser Forschungsarbeiten zeigen eindrücklich, dass die virtuelle Realität ihre Schwachstellen hat. Gravierende Angriffe, die sich direkt auf die echte Welt auswirken, sind theoretisch und praktisch möglich.