កាលពីម្សិលមិញក្រុមអ្នកស្រាវជ្រាវអ៊ីនធឺណិតមកពីសាកលវិទ្យាល័យ New Haven បានបញ្ចេញវីដេអូបង្ហាញពីភាពងាយរងគ្រោះដែលអ្នកសរសេរកម្មវិធីភាគច្រើនគេស្មានមិនដល់ថាអាចអនុញ្ញាតឱ្យពួក Hacker គេចពី privacy និងការការពារពី virtual reality ក៏ដូចជាពិភពពិត។
យោងតាមអ្នកស្រាវជ្រាវ Ibrahim Baggili, Peter Casey និងលោក Martin Vondráček ចំនុចខ្សោយដែលមានព័ត៌មានលម្អិតពីបច្ចេកទេសដែលមិនទាន់បានបញ្ចេញជាសារធារណៈនៅឡើយ ប៉ុន្តែត្រូវបានចែករំលែកជាមួយ Hacker News។ កម្មវិធីនិម្មិតដ៏ពេញនិយម (VR) ដែលគេហៅថា Bigscreen ត្រូវបានបង្កើតឡើងដោយ Unity។ Bigscreen គឺជាកម្មវិធី VR ដ៏ពេញនិយមដែលពណ៍ថាជា បន្ទប់ទស្សនីយភាពនិម្មិត “virtual living room” ដែលអនុញ្ញាតឱ្យមិត្តភក្តិលេងជាមួយគ្នានៅក្នុងពិភព Virtual ដែលមានដូចជាការមើលភាពនៅក្នុងរោងកុន ការជជែកកំសាន្តនៅក្នុងបន្ទប់ទទួលភ្ញៀវ បង្កើតបន្ទប់ឯកជន “private rooms” សហការលើគម្រោងមួយរួមគ្នា ចែករំលែកអេក្រង់កុំព្យួទ័ររបស់ពួកគេនិងមានច្រើនទៀត។
អ្វីដែលគួរឱ្យខ្លាចពួក Hacker អាចធ្វើអ្នកបាននៅក្នុង VR
ដូចដែលបានបង្ហាញនៅក្នុងវីដេអូកំហុសក្នុងកម្មវិធី Bigscreen បានអនុញ្ញាតឱ្យអ្នកស្រាវជ្រាវធ្វើការបញ្ជាគេហទំព័ររបស់ Bigscreen (ដែលរត់នៅពីក្រោយកម្មវិធីកុំព្យូទ័រ) និងធ្វើការវាយប្រហារជាច្រើនរូមមាន៖
- ការរកឃើញបន្ទាប់ឯកជន
- ចូលរួមបន្ទប់ VR ផ្សេងរួមទាំងបន្ទប់ឯកជន
- លួចតាមដានអ្នកប្រើនៅក្នុងបន្ទប់ VR ណាមួយ
- មើលឃើញអេក្រង់កុំព្យួទ័រអ្នកប្រើ VR ក្នុងពេលវេលាពិតប្រាកដ
- លួចចែករំលែក Screen របស់អ្នកនឹង audio, microphone audio
- ផ្ញើសារដោយប្រើឈ្មោះរបស់អ្នកប្រើ
- លុបឬបិទមិនឲ្យអ្នកចូលក្នុងបន្ទប់ណាមួយ និងច្រើនទៀត។
តើអ្វីដែលកាន់តែគួរឲ្យបារម្មណ៍ទៅទៀត? ក្រៅពីនេះភាពងាយរងគ្រោះខុសៗគ្នានៅក្នុង API Unity Engine Scripting ដែលអ្នកស្រាវជ្រាវបានធ្វើរួមបញ្ចូលគ្នាជាមួយកំហុស Bigscreen បានអនុញ្ញាតឱ្យពួកគេគ្រប់គ្រងកុំព្យូទ័ររបស់អ្នកប្រើ VR ដោយការទាញយកនិងតំឡើងមេរោគជាសម្ងាត់។
ភាពងាយរងគ្រោះរបស់កម្មវិធី Big Screen VR និង Unity Engine
យោងតាមពត៌មានលំអិតដែលបានចែករំលែកជាមួយ Hacker News គុណវិបត្តិធំ ៗ ជាច្រើននៅក្នុងសំណួរគឺបញ្ហា Script (XSS) ជាប់ៗគ្នាដែលផ្ទុកនៅក្នុង fields នាក់ប្រើ VR ត្រូវបានគេសន្មត់ថាបញ្ជូនឈ្មោះអ្នកប្រើឈ្មោះបន្ទប់របស់ពួកប្រភេទបន្ទប់នៅក្នុងកម្មវិធី BigScreen ។
ដូចដែលបានបង្ហាញក្រុមអ្នកវាយប្រហារអាចចាក់បញ្ចូលទិន្នន័យ JavaScrip ដោយប្រើ Unity Scripting API ដែលមានគ្រោះថ្នាក់ដើម្បីទាញយកមេរោគចេញពីអ៊ីនធឺណេតដោយដាក់គោលដៅទៅអ្នកប្រើទាំងអស់៕




ប្រភព ០៦/៣/២០១៩
https://thehackernews.com/2019/02/bigscreen-vr-hacking.html