Nuevas tecnologías, nuevas amenazas. Si hace unos días os hablábamos de ese Formjacking que amenaza a miles de tiendas on-line de todo el planeta, hoy llega el turno de lo ya se ha bautizado como “man in the room”, o lo que es lo mismo: ataques para escenarios de realidad virtual.
La nueva amenaza ha puesto durante los últimos meses su diana en los usuarios de Bigscreen, una popular aplicación de VR disponible en Steam (versiones para HTC Vive, Oculus Rift, Windows Mixed Reality) y que cuenta con una base de más de 500.000 usuarios.
Como un “Google Hangouts” vitaminado, Big Screen ofrece a sus usuarios salas de chat virtuales en las que pueden charlar, colaborar en proyectos o incluso si les apetece, asistir juntos a una de las distintas proyecciones que anuncian en su cine virtual.
Ha sido sin embargo la Universidad de New Haven la que ha explicado que, tras realizar un análisis forense sobre la aplicación, ha descubierto que durante meses distintas vulnerabilidades han permitido a cualquier usuario con los conocimientos técnicos necesarios, “colarse” en cualquiera de estas habitaciones virtuales para desde ahí, tomar el control del equipo de sus víctimas o infectarlos con todo tipo de malware. Y si fuera poco, resulta que el proceso es completamente “transaparente”. La infección se produce sin que la víctima tenga que instalar nada o pueda evitarlo.
Entre otras cosas, un atacante puede controlar por ejemplo cuándo su objetivo entra en una sala VR, activar remotamente su micrófono para espiar conversaciones privadas o cómo ya hemos señalado, inyectar malware que al autoreplicarse, acabe infectando a otros usuarios. De forma similar, este ataque permite al cibercriminal ver lo que se proyecta en el ordenador de los usuarios en tiempo real, cambiarse de avatar por el una persona infectada y enviar mensajes haciéndose pasar por ese mismo usuario.
En estos momentos la compañía asegura que las vulnerabilidades se han parcheado y que sus usuarios puedes conectarse a Bigscreen de forma segura. Pese a esto, incidentes como este “man in the room” ponen el foco sobre esas nuevas realidades (AR/VR/MR) en las que tal vez por su todavía escasa penetración en el mercado, las medidas de seguridad no están demasiado desarrolladas.
Fuente:https://www.muyseguridad.net
