Publié le 12/03/2019 à 09:00
Bigscreen : une très grosse faille de sécurité découverte !Une équipe de chercheurs de l'Université de New Haven a récemment découvert une faille qui pourrait représenter une sérieuse menace pour la sécurité des applications développées avec le moteur de jeu Unity. Par extension, Bigscreen Beta, la plate-forme de réalité virtuelle basée sur ce même moteur 3D Unity et qui vous permet de diffuser votre moniteur en streaming et de discuter en réalité virtuelle, était particulièrement à risque avant que la vulnérabilité identifiée ne soit corrigée il y a 2 semaines. Et oui, on annonce la faille après la correction (souvent, mais ce n’est pas toujours le cas) car vous allez le voir par la suite les conséquences pouvaient être importantes. Le fondateur et PDG de Bigscreen, Darshan Shankar, se veut rassurant et a déclaré que cette faille “nous avait été signalée et qu’elle avait déjà été corrigée”, et qu’elle “n’a pas été exploitée par des pirates informatiques et que plus personne n’est actuellement exposé à ce problème. C'est réparé." On peut même voir que le correctif de sécurité a également été noté publiquement dans le journal de mise à jour de l'application. Journal parmi lequel se trouvent plusieurs nouvelles fonctionnalités, telles que des effets de lumière, de nouveaux environnements, de nouveaux avatars et une nouvelle interface utilisateur. Avant que la vulnérabilité ne soit corrigée dans une récente mise à jour de la version bêta de Bigscreen, des hackers avertis étaient en mesure de piocher dans une liste vertigineuse de mauvaises actions potentielles. Et le tout à l’aide de leur propre outil "command and control" afin d’entrer dans une conversation privée et surtout potentiellement infecter les ordinateurs des utilisateurs d’une salle avec n’importe quel type de malware, en utilisant la commande OpenURL d’Unity. Depuis, Unity a averti les développeurs qui utilisent la commande OpenURL dans leurs jeux : "Vous devez être extrêmement prudents afin de ne pas fournir de chaîne de caractères à cette fonction qui pourrait éventuellement être créée ou modifiée de manière malveillante par une tierce partie". Voici la liste des hack relevés:
Pas mal non ? Bien évidemment et comme dit plus haut, cette faille est corrigée mais cela doit vous alerter quant à l’utilisation de certains programmes ou librairies qui elles ne sont pas forcément vérifiées par une autorité compétente et indépendante. Il serait très facile de détourner l’utilisation “classique” d’une application de streaming pour l’Oculus GO afin de recevoir le flux ou d’avoir accès aux fichiers du casque. À méditer …
|
Publicité
Publicité
Publicité
|
© 2013-2018 ETR | Tous droits réservés Notre nouveau site : |
Version Mobile |
MESSAGES (3)