ETR.fr

   |   

En vous inscrivant, vous acceptez qu'ETR.fr conserve votre identifiant, votre adresse mail et votre adresse IP durant une durée de 6 ans après la dernière connexion.



Publié le 12/03/2019 à 09:00

Bigscreen : une très grosse faille de sécurité découverte !


Une équipe de chercheurs de l'Université de New Haven a récemment découvert une faille qui pourrait représenter une sérieuse menace pour la sécurité des applications développées avec le moteur de jeu Unity.
Par extension, Bigscreen Beta, la plate-forme de réalité virtuelle basée sur ce même moteur 3D Unity et qui vous permet de diffuser votre moniteur en streaming et de discuter en réalité virtuelle, était particulièrement à risque avant que la vulnérabilité identifiée ne soit corrigée il y a 2 semaines. Et oui, on annonce la faille après la correction (souvent, mais ce n’est pas toujours le cas) car vous allez le voir par la suite les conséquences pouvaient être importantes.

Le fondateur et PDG de Bigscreen, Darshan Shankar, se veut rassurant et a déclaré que cette faille “nous avait été signalée et qu’elle avait déjà été corrigée”, et qu’elle “n’a pas été exploitée par des pirates informatiques et que plus personne n’est actuellement exposé à ce problème. C'est réparé." On peut même voir que le correctif de sécurité a également été noté publiquement dans le journal de mise à jour de l'application. Journal parmi lequel se trouvent plusieurs nouvelles fonctionnalités, telles que des effets de lumière, de nouveaux environnements, de nouveaux avatars et une nouvelle interface utilisateur.
Bigscreen : une très grosse faille de sécurité découverte ! - 4


Avant que la vulnérabilité ne soit corrigée dans une récente mise à jour de la version bêta de Bigscreen, des hackers avertis étaient en mesure de piocher dans une liste vertigineuse de mauvaises actions potentielles. Et le tout à l’aide de leur propre outil "command and control" afin d’entrer dans une conversation privée et surtout potentiellement infecter les ordinateurs des utilisateurs d’une salle avec n’importe quel type de malware, en utilisant la commande OpenURL d’Unity.

Depuis, Unity a averti les développeurs qui utilisent la commande OpenURL dans leurs jeux : "Vous devez être extrêmement prudents afin de ne pas fournir de chaîne de caractères à cette fonction qui pourrait éventuellement être créée ou modifiée de manière malveillante par une tierce partie".
Voici la liste des hack relevés:
  • Activer les microphones de l'utilisateur et écouter des conversations privées
  • Rejoindre n'importe quelle salle de VR, y compris des salles privées
  • Créer un ver de réplication qui infecte les utilisateurs dès qu'ils entrent dans une pièce avec d'autres utilisateurs de réalité virtuelle
  • Afficher les écrans des utilisateurs en temps réel
  • Envoyer des messages au nom d'un utilisateur (usurpation d’identité)
  • Télécharger et exécuter des programmes (y compris des logiciels malveillants) sur les ordinateurs des utilisateurs
  • Rejoindre les utilisateurs en VR tout en restant invisible
     

Pas mal non ? Bien évidemment et comme dit plus haut, cette faille est corrigée mais cela doit vous alerter quant à l’utilisation de certains programmes ou librairies qui elles ne sont pas forcément vérifiées par une autorité compétente et indépendante. Il serait très facile de détourner l’utilisation “classique” d’une application de streaming pour l’Oculus GO afin de recevoir le flux ou d’avoir accès aux fichiers du casque. À méditer …  
Publié par
Staff ETR

MESSAGES (3)

Intéragissez avec la communauté
   Les Forums
Publicité
VR Cover
Publicité

© 2013-2018 ETR | Tous droits réservés               Nos partenaires :
Version Mobile