Das Versprechen der Metaverse-Plattformen, private und sichere Interaktionen in virtuellen Welten zu ermöglichen, wird in einer aktuellen Studie des CISPA Helmholtz Center for Information Security kritisch hinterfragt. Sie zeigt, dass es auf diesen Plattformen erhebliche Sicherheitslücken und Risiken durch mögliche Cyberangriffe gibt – ein für die Nutzung von VR im Geschäft in und mit China wichtiger Aspekt.
Die Studie untersucht, wie die WebXR-API-Schnittstelle, die den Zugang zu Metaverse-Plattformen über Webbrowser ermöglicht, als Schwachstelle für Cyberangriffe fungiert. Sie identifiziert drei Plattformen, deren Sicherheitsmechanismen anhand sogenannter Memory Snapshots analysiert werden. Dabei zeigte sich, dass grundlegende Sicherheitsvorkehrungen fehlen: Der Browser-Speicher ist leicht zugänglich, wodurch sensible Informationen wie Positionen von Avataren, Kameraeinstellungen und Bewegungsmuster einfach ausgelesen werden können. Auch Angriffe wie das unbemerkte Steuern von Kameras oder das Abhören von Gesprächen in virtuellen Räumen sind durch die unzureichende Programmierung der Plattformen möglich.
Die fehlende Sicherheitsarchitektur ermöglicht Angreifern, sich in virtuellen Räumen unbemerkt zu bewegen, Gespräche mitzuhören oder Kameraaufnahmen ohne Zustimmung der Nutzer einzusehen. Die Ursache liegt in der übermäßigen Weitergabe von Informationen an den Client, die zwar die Leistung auf den Servern schont, aber Angriffe erleichtert. Wenn beispielsweise der Browser eines jeden Nutzers in einem virtuellen Gebäude sämtliche Informationen über die Umgebung enthält, ist das ein potenzielles Einfallstor für Cyberangriffe.
Die Studie verdeutlicht, dass Metaverse-Plattformen derzeit keine ausreichende Sicherheit bieten und Nutzer dadurch erheblichen Risiken ausgesetzt sind. Um das Versprechen von Datenschutz und Privatsphäre zu erfüllen, sind innovative Ansätze zur Verbesserung der Sicherheitsarchitektur notwendig.
Quelle: CISPA Helmholtz Center for Information Security
China Intellectual Property Blog 