2018年04月18日，根據(jù)康涅狄格州紐黑文大學(xué)最近發(fā)表的一篇論文，由Oculus和HTC生產(chǎn)的VR頭顯完全對(duì)黑客開放了大門。他們的概念驗(yàn)證攻擊目標(biāo)是OpenVR，這是一款由Valve開發(fā)并得到Vive和Rift頭顯支持的開源軟件開發(fā)套件。結(jié)果?黑客能夠改變用戶看到的內(nèi)容，從而對(duì)其造成人身傷害。

　　HTC Vive和Oculus Rift的問題是，你無法感知周圍的物理環(huán)境。他們的VR設(shè)置包括在真實(shí)世界中定義你的移動(dòng)區(qū)域(游玩空間)。這個(gè)定義空間由網(wǎng)格組成，當(dāng)你靠近這個(gè)移動(dòng)區(qū)域邊緣時(shí)，網(wǎng)格將浮現(xiàn)以對(duì)你進(jìn)行提醒。移動(dòng)區(qū)域的邊緣一般是墻壁，沙發(fā)，或者是適合你大幅度揮動(dòng)控制器和自由移動(dòng)的安全邊界。

　　但黑客有可能會(huì)改變這個(gè)空間。比如當(dāng)頭顯所有者在樓梯附近玩耍時(shí)，黑客可以通過修改空間范圍，令用戶被臺(tái)階絆倒，甚至是滾落至下一層樓。如果家庭成員正坐在沙發(fā)上觀看，黑客可以通過修改游玩空間來令頭顯用戶靠近家庭成員，如果用戶開始大幅度揮動(dòng)控制器，這將有可能對(duì)家庭成員造成身體傷害。

　　對(duì)于本次概念驗(yàn)證，映維網(wǎng)了解到研究團(tuán)隊(duì)將惡意軟件附加到電子郵件中以感染目標(biāo)PC。紐黑文大學(xué)的網(wǎng)絡(luò)取證研究和教育組主任Ibrahim Baggili說道：“開發(fā)者在設(shè)計(jì)這一點(diǎn)時(shí)幾乎沒有安全考量，它們完全依賴于操作系統(tǒng)和用戶的安全性。”

　　自然，PC本身已經(jīng)設(shè)置了防止感染的安全措施，如殺毒軟件和防火墻。但本次實(shí)驗(yàn)是針對(duì)VR平臺(tái)本身，紐黑文大學(xué)的實(shí)驗(yàn)已經(jīng)證明這可以導(dǎo)致什么樣的后果。支持Oculus Rift和HTC Vive的軟件無法阻止惡意軟件通過OpenVR破解侵入。研究人員不僅可以改變護(hù)導(dǎo)空間的邊界，而且還可以通過頭顯看到你能看到的一切。

　　HTC和Valve暫時(shí)沒有發(fā)表評(píng)論，但Oculus指出，大部分Oculus Rift體驗(yàn)都是通過不包含OpenVR的Oculus Store上提供。而且更重要的是，為Guardian導(dǎo)護(hù)系統(tǒng)增加加密功能會(huì)導(dǎo)致錯(cuò)誤和“不必要的復(fù)雜性”。如果你的計(jì)算機(jī)正在受到攻擊，所有數(shù)據(jù)都將面臨風(fēng)險(xiǎn)，不僅僅只是VR體驗(yàn)。

　　但報(bào)告顯示，這個(gè)問題不僅僅只是改變頭顯的視圖。例如，黑客可以發(fā)現(xiàn)隱藏在Steam文件夾中兩個(gè)可用于繞過雙重身份驗(yàn)證的授權(quán)文件。其他文件包括用戶名，端口詳細(xì)信息，IP地址，以及與特定于應(yīng)用的相關(guān)數(shù)據(jù)。

　　紐黑文大學(xué)的研究人員將于5月舉行的第39屆電氣和電子工程師學(xué)會(huì)安全和隱私研討會(huì)上進(jìn)行完整的披露。