点击蓝字   关注我们

电影《盗梦空间》描写了人可以进入他人梦境，在潜意识里盗取机密，插入虚假信息，重塑梦境，改变他人意识。日前，芝加哥大学计算机科学系的研究者指出，VR 系统的沉浸式界面存在漏洞，用户很容易成为新型网络攻击——盗梦空间式攻击的受害者。

这项全球首创研究成果，以论文形式发表在预印本平台 arXiv 上：《盗梦空间式攻击：虚拟现实系统中的沉浸劫持》（Inception Attacks: Immersive Hijacking in Virtual Reality Systems）。该文介绍并描述了盗梦空间式攻击的性质、特点、漏洞和威胁模型、攻击实例、并提出有效的应对防御措施。

什么是盗梦空间式攻击？

下面通过两个具体场景来说明。

场景 1  Alice 每周花 4 天时间通过雇主的新 VR 应用程序在家庭办公室远程工作。每天早上，她都会戴上头显，打开应用程序开始她的日常生活。今天，她注意到她的雇主 X 公司的内部网服务器在 VR 中识别她的公司密码需要很长时间。她记下了重置家庭 WiFi 路由器的心路历程。在其他地方，Carl 坐在那里看着他的 VR 头显完成记录 Alice 的登录序列。

场景 2  Alice 在正常的 VR 约会之夜与伴侣 Madison 发生最新争吵后，沮丧地摘下了她的 VR 头显。Madison 整个星期都越来越疏远了，实际上今晚他们的关系结束了。在其他地方，Carl 关掉了他的生成语音界面，满意地看着困惑的 Madison 突然离开。

上述两种情况都源于一个攻击，即攻击者 Carl 破坏了用户 VR 系统的完整性，在用户和其 VR 层之间插入他自己的软件。在这种攻击下，用户 Alice 不再与预期的 VR 对象，如 X 公司的服务器，或 Madison 直接交互。相反，用户实际上是在 Carl 的 VR 层中操作，间接地与 VR 对象进行交互，这些交互由 Carl 实时监控、记录和修改。鉴于 VR 的沉浸式属性，Carl 能够在自己的 " 盗梦空间式 VR 层 " 中，复制用户跟网络服务器及跟其他用户的正常交互，并且用户无法区分自己在哪个 VR 层中。因此，研究者将这种新型网络攻击命名为 " 盗梦空间式攻击 "。如下图所示：

盗梦空间式攻击：用户以为他们直接与从 VR 主屏幕启动的 VR 应用程序进行交互，但实际上他们正在攻击者的盗梦层中运行模拟的 VR 应用程序。

研究者最终将盗梦空间式攻击定义为：在 VR 系统的背景下，攻击者通过将用户困在伪装成完整 VR 系统的单个恶意 VR 应用程序中、来控制和操纵用户与其 VR 环境的交互的攻击。

盗梦空间攻击通过在恶意应用程序中创建 VR 系统的主屏幕环境和应用程序的模拟并将用户困在其中，将攻击者插入用户和任何外部实体之间。虽然用户认为他们与不同的 VR 应用程序进行了正常的交互，但事实上，他们是在一个模拟世界中进行交互的，在这个世界中，他们看到和听到的一切都被攻击者截获、转发，并可能被攻击者更改。当用户受到盗梦空间攻击时，他们的所有输入（语音、动作、手势、击键）和 VR 应用程序输出（虚拟浏览器、来自远程服务器的音频 / 视频、通过化身与其他 VR 用户的交互）都可能被攻击者实时窃听、记录或修改。

盗梦空间式攻击的两大特点

盗梦空间式攻击有两个特点，它们使这种攻击变得异常强大。

1、盗梦空间式攻击极难检测

因为 VR 应用程序通常被设计成接近真实世界，避免使用传统计算机应用程序特有的指标和提示。因此，用户目前无法验证其沉浸式体验（视觉或听觉）的任何部分是否来自特定的 VR 应用程序。

2、攻击者几乎完全控制 VR 体验

攻击者不仅窃听和记录数据，还可以实时更改目标用户的信息和体验。攻击者不仅可以默默地观察用户与 VR 提供商的互动，记录密码或其他敏感数据，还可以劫持和替换整个社交互动。

现在，通过利用许多漏洞中的任何一个，都可以在 VR 系统上发起盗梦空间式攻击。在某些情况下，漏洞是传统计算机应用程序中已经解决的基本问题，但在 VR 系统中却被忽视了。在其他情况下，由于 VR 应用程序和接口的性质，传统的身份验证机制变得更具挑战性。

漏洞和威胁模型

宏观地看，盗梦空间攻击类似于网络上的 " 中间人 "（MITM）攻击，只不过被应用于 VR 环境。与 " 中间人 " 攻击一样，攻击者可以利用各种安全漏洞发起盗梦空间攻击。

盗梦空间攻击可以从多个入口点发起，研究者主要考察了两种不同的威胁模型。

1、威胁模型 A

攻击者可以使用各种传统攻击载体获得根访问权限，包括物理访问、黑客攻击、权限提升、远程攻击或传统越狱方法。根访问允许攻击者通过直接点击设备的显示器和音频通道，来控制用户的所见所闻。

但一个更简单的选择，是安装一个内部有隐藏盗梦空间式层的恶意应用程序，并在打开头显时运行它。在进入盗梦层之前，VR 主屏幕中的用户可能会注意到有闪烁的情况。

研究者认为，当前一代 VR 系统在桌面或移动计算操作系统中，缺乏可用的安全保护机制。更具体地说，VR 系统没有安全的引导加载程序或用户身份验证来防止攻击者获得对系统的控制。

2、威胁模型 B

攻击者没有根访问权限，但能够运行包含隐藏着盗梦空间攻击的恶意应用程序。这种情况可以通过两种方式发生。

首先，应用程序的侧载。许多 VR 系统——例如 Meta Quest 2/3/Pro、VIVE Focus 3 和 PICO 4，支持 VR 应用程序的侧载，以增强可用性。侧载允许 VR 头显安装和运行非官方应用商店的应用程序，该应用程序可以从连接到启用侧载的 VR 头显远程服务器启动。该功能可在现有 VR 系统上使用，包括 Meta Quest 2、3 和 Pro。因此，远程攻击者可以在目标头显上安装模仿合法应用程序的盗梦应用程序。

其次，对于不支持侧载应用程序的头显，攻击者可以将其盗梦组件嵌入其他良性应用程序中，例如天气应用程序，并将其发布到 App Store。对于像最新发布的 Apple Vision Pro 这样具有强大安全性的 VR 系统，禁用侧加载并不能阻止目标用户安装和运行看似良性的入门应用程序。在这种情况下，当隐藏功能被触发时，任何从应用商店下载应用程序的用户都可能成为盗梦攻击的目标。

攻击实例

研究者在实验中，采用了 Meta Quest 头显的三个版本——即 Quest 2、3 和 Pro，复制了两个应用程序—— Meta Quest 浏览器和 VRChat，并完成攻击行为，成功演示了盗梦空间式攻击的可行性和影响。

1、劫持 Meta Quest 浏览器，篡改银行账户

Meta Quest 浏览器内置于 Quest 头显之中，为用户提供身临其境的网络浏览体验。由于该应用程序使用公共 API 与网页服务器通信，研究者的复制工作主要集中在复制浏览器 GUI，显示网站内容，以及检测和响应用户输入。他们构建了与真实版本非常相似的 Meta Quest 浏览器副本，演示了三个攻击实例。攻击者能够分别实时窃听用户登录信息、修改用户对网站的输入和修改头显上显示的网站内容。

（1）窃取信息

当用户使用 Meta Quest 浏览器访问银行、公司、医疗和电子邮件等敏感账户时，攻击者可以截获并记录私人信息，包括用户输入的凭据。这是因为，使用交互 SDK，复制应用程序可以准确地监控光标移动、记录击键、捕捉按钮按下和跟踪头显运动。因此，攻击者可以准确地提取用户对特定网络条目的输入。

（2）操作服务器输出

复制应用程序可以显示从服务器获取的网站内容的修改版本。

这是一个典型的网上银行交易场景示例。当用户使用复制浏览器访问银行网站时，浏览器首先从复制的 GUI 收集他们的凭据，并通过 HTTP 请求将凭据发送到银行服务器。验证登录凭据后，银行服务器将用户的账户信息返回给头显，包括账户余额。虽然所有这些网络通信都使用 SSL 握手协议进行加密，但要在头显上显示的内容在握手协议期间使用复制浏览器提供的密钥进行加密。因此，副本浏览器可以解密并获得原始内容，并且可以在将其在用户头显显示之前对其进行修改。攻击者完全控制了副本浏览器，允许他们随意执行任何任意代码。

如上图，在银行场景中，银行服务器向 VR 中的用户发送正确的银行账户余额。然而，在显示给用户之前，这种余额会被盗梦攻击更改为 10 美元。

（3）操纵用户输入

攻击者还可以修改复制品上用户输入的内容，并使用修改后的内容形成对网页服务器的 API 调用。这些 API 调用通常使用参数字段中的纯文本和数值（例如 HTML 格式）。

下面的例子展示了受害者通过美国银行旗下数字支付服务 Zelle 进行在线交易的场景。受害者首先通过填写网页表单并单击 "Continue transfer" 进行 1 美元的交易。在通过 HTTP 请求将网页表单提交到服务器之前，攻击者通过以下 JS 代码将网页表单中的交易金额更改为 5 美元：

上图所示：在交易场景中，受害者输入的金额在提交到银行服务器之前被攻击者更改。（a） 受害者通过填写网页表单进行 1 美元的交易。攻击者在将交易金额发送到服务器之前，秘密地将交易金额更改为 5 美元。（b）然后受害者被带到确认页面，完成交易。攻击者在确认页面上将金额值设置为 1.00 美元，以避免受害者产生任何怀疑。（c）实际交易金额更改为 5 美元。

劫持 VRChat 聊天

之前文中曾描述过一个盗梦攻击的场景，Alice 和 Madison 在 VR 约会之夜的对话被攻击者 Carl 劫持。研究者描述了通过复制 VRChat 应用程序，在 Meta Quest 设备上实现这种攻击。攻击者可以在该应用程序中收听和修改 Alice 和 Madison 之间的实时音频通信。

在盗梦攻击下，攻击者 Carl 在 Alice 和 Madison 的 VRChat 会话之间充当中间人。因此，Carl 能够改变实时音频传输。例如，Alice 会听到 Madison 对她的问题回答—— " 不 "，而实际上 Madison 对攻击者发送的虚假分手信息的回答是—— " 为什么 "。

攻击的具体做法是，用户头显上的复制应用程序实现了 VRChat 的 GUI，它从中捕获用户的凭据。此外，复制应用程序会捕获用户的实时语音和动作，并将这些数据流传输到攻击者服务器。攻击者的服务器使用用户的凭据在其头显上运行合法的 VRChat 应用程序，该应用程序与 VRChat 服务器通信。攻击者服务器还捕获其 VR 头显的屏幕显示和音频流，并将其直播到目标头显上的复制应用程序，然后将其显示在头显上。通过这种方式，攻击者服务器是用户头显头和 VRChat 服务器之间的中间人，它可以访问原始的视觉和音频数据，并可以实时修改其中任何一个以劫持 VRChat 会话。

盗梦式攻击远比传统攻击严重

研究者认为，盗梦空间式攻击远比传统攻击严重。VR 头显有潜力为用户提供与现实本身相当的深度沉浸式体验，但当这种身临其境的功能被滥用时，VR 系统可以促进网络安全攻击，其后果远比传统攻击严重。特别是，VR 系统可以使用身临其境的感官输入来操纵用户产生虚假的舒适感，误导他们泄露私人和敏感信息，例如向金融账户提供认证证书，或信任他们的所见所闻，如手势、动作和对话。

研究结果证明了盗梦式攻击的初步可行性和有效性。该攻击成功欺骗了 27 名参与者中的 26 名。值得注意的是，即使是每天 / 每周与 VR 设备互动的经验丰富的用户也容易受到影响。

研究还表明，个体抵抗盗梦式攻击是一项挑战。首先，当今 VR 系统中固有的波动性和故障使检测微小差异或引起怀疑变得极具挑战性。此外，对信誉良好的企业开发的应用程序的信任以及通过事先使用合法应用程序形成的习惯，也鼓励用户在遭遇盗梦攻击时保持正常操作。

研究者认为需要更系统的方法来应对防御这种新型攻击。

应对防御措施

1、防止安装

首先，考虑如何阻止盗梦应用程序安装在用户头显上。

（1）为网络端口添加安全身份验证。在网络端口上要求更强的身份验证，将限制通过未经授权的远程连接安装盗梦攻击。

（2）禁用头显的侧载功能。盗梦攻击常是通过侧载方便地执行的。为了提高安全性，VR 系统应该提供与侧载相关的安全风险的信息教程，或者通过将重要用例迁移到更受控制的环境来减少启用侧载和 ADB 访问的需要。

（3）安全引导加载程序和安全区域。安全区域是一个与主应用程序处理器隔离的处理器，用于存储加密密钥，并使其无法从系统的其他部分访问。在启动过程中，安全区域会验证引导加载程序、操作系统内核和特权进程，从而保护整个引导进程的完整性。

2、防止启动

如果盗梦应用程序已成功安装在头显上，一些防御技术可能有助于阻止它在头显上运行。

（1）Kiosk 模式。在企业环境中，使用 kiosk 模式可能会限制用户可以交互的应用程序集，这将阻止盗梦应用程序启动。但 Kiosk 模式大大限制了企业 SaaS 的灵活性，并增加了运营成本。

（2）应用程序证书。对于 VR 系统来说，盗梦攻击应用程序就像任何其他自定义 VR 应用程序一样，无需额外验证。因此，需要增强所有应用程序的验证过程。如果强制执行应用程序证书，攻击者将需要通过获取证书或利用缺陷绕过验证来运行进行盗梦。

（3）禁用非系统应用程序的应用程序调用。禁用应用程序转换将阻止盗梦应用程序打开其他应用程序或其子页面。这意味着盗梦攻击无法通过直接应用程序调用克隆单个应用程序。

（4）验证应用程序调用的真实性。加强客户端身份验证是防止 MITM 攻击的标准方法之一。头显可以添加类似的验证来验证应用程序通信。尽管如此，证书验证和源身份验证仍然不能免受 MITM 攻击，并且不能完全抵御盗梦攻击。

3、阻止用户访问操作系统的壳

盗梦式攻击运行壳（shell）脚本来检测用户何时退出应用程序，然后激活盗梦应用程序，并收集头显的配置信息，以高精度复制主页环境。禁用用户对操作系统壳的访问，将阻止攻击者使用这些脚本，这将降低盗梦攻击的有效性和隐蔽性。

4、通过异常检测进行防御

如果攻击绕过了预防方法，并且盗梦应用程序在头显上运行，则检测可以减轻危害，例如，通过退出所有应用程序或在检测到攻击时重新启动设备。

5、硬件防御

（1）定期重新启动头显。重新启动头显将终止运行盗梦应用程序的进程，并使攻击处于休眠状态，直到再次启动。尽管它没有删除盗梦应用程序，但它通过减少攻击的活跃时间来减轻潜在的危害。

（2）定期硬重置。硬重置头显会擦除设备，从而完全删除盗梦应用程序和间谍脚本。攻击者需要再次注入盗梦应用程序来攻击用户。

6、组合防御

VR 硬件和软件平台的开发仍处于早期阶段，缺少在传统网络应用程序中认为理所当然的许多安全机制。对盗梦攻击的强大防御最终需要预防、检测和缓解工具的组合。研究者建议考虑以下五个步骤的组合：

（1）禁用侧载；

（2）强制应用程序证书；

（3）禁用非系统应用程序的应用程序调用 / 验证应用程序调用；

（4）加密网络流量；

（5）头显定期重启。

7、教育用户

用户可能会注意到细微的异常，但会将其视为错误或小故障而不予理会。如果用户意识到这种形式的攻击，并对外观或体验的微小变化保持警惕，则可能会检测到盗梦攻击。然而，一般来说，用户对网络攻击的检测往往具有挑战性且不可靠。特别是对于 VR，由于用户习惯于不完美的 VR 系统，这种防御不太可能有效。

展望

展望未来，研究者认为仍有足够的时间来设计和实施多种安全措施，以大幅减少这些袭击的预期扩散及其造成的损害。

时间在流逝。每一代新的 VR 硬件都将带来越来越大的计算能力，这反过来又将实现更强大的盗梦攻击。例如，攻击者用无缝、实时地注入 VR 用户的语音生成 AI 版本来取代 VR 用户。

研究者指出，VR 平台和开发者现在需要采取行动，不仅要提高 VR 系统的安全性，还要努力教育用户在这些平台上面临的潜在安全风险。

这项研究的发现，将会引起头显生产厂家对网络安全的进一步关注，会在安全方面进一步完善 VR 产品，将会有力推动有关 VR 安全的软硬件产品的研发和进步，会催生一批 VR 安全的新技术和新产品。

文 / 维克多

（文中未标注的图片均来源于网络）

扫码加客服微信

商务合作｜

爆料投稿｜

媒体合作｜

往期精彩推荐

VR / AR 星球