US-Computerspezialisten haben in einer wissenschaftlichen Versuchsanordnung Oculus Rift und HTC Vive gehackt und sensible Nutzerdaten entwendet. Das geht erstaunlich leicht, ist das Betriebssystem erst einmal überlistet.

Informatiker der Universität von New Haven haben testweise einen Computer mit einer Malware infiziert. Die Aufgabe der Schadsoftware war es, die gängigen Sicherheitsbarrieren des Betriebssystems auszuschalten, sodass sich die Spezialisten Zugriff auf die OpenVR-Schnittstelle verschaffen können. Diese liegt SteamVR zugrunde, das für den Betrieb von HTC Vive und Oculus Rift unter Steam benötigt wird.

Wie sich herausstellte, ist die Schnittstelle schlecht geschützt. “Sie wurde mit wenig Sinn für Sicherheit entwickelt. Die Entwickler verlassen sich komplett auf die Sicherheitsmaßnahmen des Betriebssystems”, sagt Mitautor Ibrahim Baggili gegenüber CNET.

Freier Zugriff auf Nutzerdaten

Passwort-Programme wären immer noch verschlüsselt und böten eingeschränkten Zugriff auf Daten, selbst wenn das Betriebssystem versagt. Bei OpenVR hingegen seien wesentliche Bestandteile der Software unverschlüsselt, sodass sensible Informationen wie der Nutzername, Profilbilder und Systemdetails von Hackern entwendet werden könnten.

“Die Tür war weit offen und wir hatten freien Zugang zum System”, sagt Peter Gromkowski, Mitautor der Anfang April veröffentlichten Untersuchung. Die Informatiker erprobten den Hack an Reihe von Social-VR-Apps wie Bigscreen, Facebook Spaces, Rec Room und Altspace VR.

Laut CNET konnten sie sich Zugang zur Kamera und dem Display der VR-Brille verschaffen sowie auf das Chaperone-Sicherheitssystem Einfluss nehmen. Bei Bigscreen wäre es theoretisch möglich gewesen, einen privaten Raum zu betreten und den VR-Nutzer zu belauschen.

Hersteller müssen nachbessern

Die Wissenschaftler baten Oculus, HTC und Valve um eine Stellungnahme. Oculus widersprach den Ergebnissen der Studie. Es nutze andere Sicherheitsmaßnahmen als OpenVR, heißt es. Das Guardian-System, das den digitalen Schutzkäfig definiert, wolle man nicht verschlüsseln, da dies zu “unnötiger Komplexität und Fehlern” führen würde.

“Die Guardian-Einstellungen sind sicher, solange der Computer nicht kompromittiert ist. Ist er es, sind auch alle anderen Programme und Daten ungeschützt”, sagte der Oculus-Sprecher.

Valve antwortete nicht auf die Anfragen und ein HTC-Sprecher ließ verlauten, dass man die beschriebenen Szenarien mit Software-Programmierern evaluiere.

| Featured Image: Valve | Source: CNET

Wenn Du die Artikel auf VRODO hilfreich und interessant findest, dann unterstütze uns bitte, indem Du Deinen Werbeblocker für unsere Seite deaktivierst. Alternativ kannst Du bei Deinem nächsten Amazon-Einkauf unseren Amazon-Link nutzen. Der Kaufpreis für Dich bleibt gleich, aber wir bekommen einen kleinen Anteil daran gutgeschrieben (Mehr dazu, Affiliate-Links sind z.T. auch direkt in Artikeln enthalten). Danke!