新黑文大学的一支研究团队最近发现了一个漏洞，可能对构建在Unity游戏引擎上的应用程序构成严重的安全威胁。基于Unity的社交VR平台Bigscreen Beta在上周修复之前尤为脆弱。

Bigscreen的创始人兼首席执行官Darshan Shankar表示，该漏洞已经“被我们报告并已修复”，并且“没有遭到黑客的攻击，目前没有人受到此问题的影响。已经修复。”
该安全补丁也被公开记录在最近的应用程序更新日志中，其中包括了许多新功能，如实时光线追踪光照效果、新环境、新头像和新用户界面。
在最近的Bigscreen Beta更新中修复此漏洞之前，新黑文大学的研究人员利用他们自己开发的“命令与控制”工具，成功实施了一系列危险行为，不仅使该平台对私人对话不安全，还有可能通过使用Unity的OpenURL命令感染计算机任意类型的恶意软件。
Unity随后向使用OpenURL命令的开发者发布了警告，称“在此函数中提供字符串时，必须非常小心，以免为第三方恶意创建或修改字符串”。
参见《Bigscreen》大幅改善并为所有受支持平台带来新功能
这些研究人员在一篇新闻更新中说，即使没有用户的知识和同意，甚至没有欺骗用户下载软件或授权访问计算机，他们也能够：

打开用户麦克风并收听私人对话
加入任何VR房间，包括私人房间
创建一个在用户进入与其他VR用户相同房间后立即感染用户的复制蠕虫
实时查看用户计算机屏幕
代表用户发送消息
下载并运行程序（包括恶意软件）到用户计算机上
保持隐身状态与用户一起在VR中。这种新颖的攻击被称为“房间内偷袭”（MITR）攻击
引诱用户下载虚假的VR驱动程序

新黑文大学网络取证研究和教育团队的创始人兼联合主任Dr. Ibrahim Baggili表示：“我们的研究表明黑客能够整天监听人们，在虚拟现实中观察他们的对话和互动。他们看不到你，听不到你，但黑客可以听到他们并观察他们，就像隐形的偷窥狂一样，一种新的隐私层面被侵犯。”
该团队还制作了一段视频，展示了如果用户没有发现并报告此漏洞可能对他们造成的严重影响。

幸好，在任何伤害造成之前就避免了这一平台用户可能遇到的灾难。Shankar告诉Road to VR说：“与安全研究人员和我们的内部安全和质量保证实践一起工作将帮助我们在恶意黑客之前保持领先。”