US-Computerspezialisten haben in einer wissenschaftlichen Versuchsanordnung Oculus Rift und HTC Vive gehackt und sensible Nutzerdaten entwendet. Das geht erstaunlich leicht, ist das Betriebssystem erst einmal überlistet.

Digility 2018

Informatiker der Universität von New Haven haben testweise einen Computer mit einer Malware infiziert. Die Aufgabe der Schadsoftware war es, die gängigen Sicherheitsbarrieren des Betriebssystems auszuschalten, sodass sich die Spezialisten Zugriff auf die OpenVR-Schnittstelle verschaffen können. Diese liegt SteamVR zugrunde, das für den Betrieb von HTC Vive und Oculus Rift unter Steam benötigt wird.

Wie sich herausstellte, ist die Schnittstelle schlecht geschützt. “Sie wurde mit wenig Sinn für Sicherheit entwickelt. Die Entwickler verlassen sich komplett auf die Sicherheitsmaßnahmen des Betriebssystems”, sagt Mitautor Ibrahim Baggili gegenüber CNET.

Freier Zugriff auf Nutzerdaten

Passwort-Programme wären immer noch verschlüsselt und böten eingeschränkten Zugriff auf Daten, selbst wenn das Betriebssystem versagt. Bei OpenVR hingegen seien wesentliche Bestandteile der Software unverschlüsselt, sodass sensible Informationen wie der Nutzername, Profilbilder und Systemdetails von Hackern entwendet werden könnten.

“Die Tür war weit offen und wir hatten freien Zugang zum System”, sagt Peter Gromkowski, Mitautor der Anfang April veröffentlichten Untersuchung. Die Informatiker erprobten den Hack an Reihe von Social-VR-Apps wie Bigscreen, Facebook Spaces, Rec Room und Altspace VR.

Laut CNET konnten sie sich Zugang zur Kamera und dem Display der VR-Brille verschaffen sowie auf das Chaperone-Sicherheitssystem Einfluss nehmen. Bei Bigscreen wäre es theoretisch möglich gewesen, einen privaten Raum zu betreten und den VR-Nutzer zu belauschen.

Hersteller müssen nachbessern

Die Wissenschaftler baten Oculus, HTC und Valve um eine Stellungnahme. Oculus widersprach den Ergebnissen der Studie. Es nutze andere Sicherheitsmaßnahmen als OpenVR, heißt es. Das Guardian-System, das den digitalen Schutzkäfig definiert, wolle man nicht verschlüsseln, da dies zu “unnötiger Komplexität und Fehlern” führen würde.

“Die Guardian-Einstellungen sind sicher, solange der Computer nicht kompromittiert ist. Ist er es, sind auch alle anderen Programme und Daten ungeschützt”, sagte der Oculus-Sprecher.

Valve antwortete nicht auf die Anfragen und ein HTC-Sprecher ließ verlauten, dass man die beschriebenen Szenarien mit Software-Programmierern evaluiere.

| Featured Image: Valve | Source: CNET

Tagesaktuelle und redaktionell ausgewählte Tech- und VR-Deals: Zur Übersicht
VRODO-Podcast #109: Magic Leap im Test und VR-Hype-Zyklus | Alle Folgen anhören


Unsere Artikel enthalten vereinzelt sogenannte Affiliate-Links. Bei einem Kauf über einen dieser Links erhalten wir eine kleine Provision. Der Kaufpreis bleibt gleich.