韩国研究团队揭示VR社交平台四大新型安全威胁
在数秒钟内检测到可疑元素
(映维网Nweon 2025年07月25日)VR社交平台越来越受欢迎,但其安全风险尚未得到充分探讨。在一项研究中,韩国光云大学团队提出了四种新颖的UI攻击,它们通过欺骗性的虚拟内容暗中操纵用户执行有害的操作。相关攻击在VRChat实现,并在一项由30名被试参与的研究中得到验证,证明了欺骗元素如何在用户不知情的情况下误导用户进行恶意行为。
为了解决漏洞,研究人员提出了MetaScanner。这种主动对策可以快速分析元宇宙中的对象和脚本,在数秒钟内检测到可疑元素。
随着虚拟现实的日渐普及,不法分子可能会利用元宇宙的漏洞,并造成重大的安全风险,如隐私侵犯和用户操纵。先前的研究强调了威胁,包括通过扭曲的虚拟环境误导用户,以及通过头部追踪和运动指标暴露个人数据。
尽管有了所述发现,像VRChat这样的VR社交平台的安全风险在很大程度尚未得到充分检查。随着它们越来越多地普及开来,解决相关漏洞既及时又至关重要。
在研究中,韩国光云大学团队探讨了社交VR平台的根本漏洞:用户创建欺骗性虚拟内容的能力。所以,对抗性内容创建者可以利用虚拟世界,虚拟角色,以及用户交互,通过工程技术嵌入看似合法的有害逻辑。由于用户将鼓励探索不同的虚拟内容来满足社交需求,相关攻击有效地吸引了参与,同时难以发现。
具体来说,研究人员提出了四种新颖的UI攻击:
对象点击劫持,捕获输入并将其重定向到意想不到的内容
拒绝射线投射,通过不可见的物体阻止用户交互
中间对象,窃取密码等敏感信息
虚拟角色钓鱼攻击
研究人员提出了四种针对VR社交平台用户的新颖攻击。相关攻击能够偷偷地、持续地执行恶意操作,利用VR的沉浸式本质来利用用户交互。
在用户研究中共有30名参与被试,并在VRChat的概念验证元宇宙中展示了攻击的有效性。为了减轻风险,研究人员引入了MetaScanner。这种主动对策旨在快速检测虚拟内容中的可疑对象和脚本,包括不可见元素和恶意url。他们在38个收集的虚拟环境中对MetaScanner进行了评估,证明了它在以最小的处理时间识别欺骗性虚拟内容方面的有效性。
对象点击劫持
在VR社交中,攻击者利用沉浸式交互的策略,如在相同位置部署良性和恶意对象,利用渲染顺序不一致(相同大小的对象),或覆盖透明对象,类似于传统的点击劫持(不可见对象)。如图1所示,相关技术可以在未经用户同意的情况下启动有害事件,例如将其重定向到非法广告或恶意视频。
拒绝射线投射
在拒绝射线投射攻击(图2)中,攻击者通过将不可见对象放置在光线投射路径上来阻止用户与可见对象的交互。这可能会误导用户认为他们的控制器出现故障。攻击者同时可能提供虚假的故障排除指南,其中包含网络钓鱼QR码,将用户重定向到恶意网站。
中间对象
对于这种攻击(图3),攻击者利用虚拟键盘的不可见对象拦截敏感输入,如信用卡号码。捕获的数据可以泄露到外部服务器,或者可以存储在虚拟世界的隐藏区域以供以后检索,这使得攻击既隐蔽又持久。
虚拟角色钓鱼攻击
在这种攻击中(图4),攻击者将恶意QR码嵌入虚拟角色。代码通常与化身的身体分离,可以暗中与合法的QR码重叠,将用户重定向到有害的网站。与在静态虚拟对象中嵌入代码不同,利用虚拟角色可以允许攻击者渗透到多个虚拟世界,这大大增加了检测工作的复杂性。
研究人员对30名参与者的用户研究证明了所有四种提议攻击在利用VR社交平台中的用户漏洞方面的有效性。在对象点击劫持中,83.3%的参与者没有注意到按钮之间的差异,因为它们的外观相同,反馈相似。
在拒绝射线投射中,86.7%的参与者在触发攻击后没有检测到任何变化,令人震惊的是,有的参与者表示愿意扫描攻击期间显示的假二维码。
在中间对象中,所有参与者(100%)都没有注意到他们的输入遭到透明对象拦截。同样,在虚拟角色钓鱼攻击中,所有参与者(100%)都无法区分恶意和良性的二维码,有几个人承认他们在扫描二维码之前从未质疑过二维码的真实性。
相关发现强调了用户在VR社交平台受到欺骗性攻击的关键漏洞。为了解决这个问题,团队提出了MetaScanner,这是一个静态分析工具,旨在识别基于Unity的VR社交平台中的可疑对象和脚本(图5)。
MetaScanner由四个子模块组成:(i)对象扫描仪,(ii)库扫描仪,(iii)脚本扫描仪和(iv) QR扫描仪。它将平台提供者定义的策略转换为可操作的规则集,支持对对象、库、脚本和QR码进行顺序分析,以检测恶意元素。
最后,MetaScanner生成检测到的威胁的详细报告,并向用户发出警告(图5)。通过在38个收集的虚拟世界中实施和评估,团队证明了所述工具在低处理开销下检测可疑内容的有效性。
总的来说,研究人员介绍了VR社交平台的新颖攻击,强调了对抗性内容如何在虚拟世界和化身中嵌入隐形攻击。未来的工作将侧重于通过更现实的实验,验证相关攻击的可行性。另外,团队的目标是加强MetaScanner在环境中的评估,以进一步证明其有效性。
