„Virtual Reality und Onlinespiele haben mich schon immer interessiert” erzählt CISPA-Forscher Andrea Mengascini. Als er und sein Forschungsgruppenleiter CISPA Faculty Dr. Giancarlo Pellegrino anfingen, sich mit der Sicherheit von VR-Headsets zu beschäftigen, machten sie eine interessante Entdeckung: „Uns wurde bewusst, dass dieselbe Technologie aus Onlinespielen auch in Metaversen Verwendung findet“, so Mengascini. Ein Metaverse definiert er als einen „virtuellen sozialen Raum, in dem Menschen nach Regeln interagieren können, die in gewisser Weise die der physischen Welt widerspiegeln“. Während die Sicherheit von Online-Spielen zum einen erforscht und zum anderen Schutzmechanismen umgesetzt sind, war dies bezogen auf Metaverse-Plattformen eine ungeklärte Frage. Dies weckte Mengascinis Interesse.
„Der Zugang zu einem Metaverse ist in den letzten Jahren viel einfacher geworden“ erklärt Mengascini. „Heute reicht ein normaler Webbrowser aus, um diese Räume zu betreten. Dank der WebXR-API-Schnittstelle kann dabei auch ein VR-Headset genutzt werden.“ Im Metaverse finden die Menschen eine Art digitale Kopie der realen Welt: Es gibt Räume, um sich privat zum Austausch zu treffen, große oder kleinere öffentliche Events, Spaß und Unterhaltung. „Diese Plattformen werden als webbasierte Clients ausgeführt und verwenden JavaScript, um komplexe 3D-Umgebungen, die Avatare der Benutzer:innen und Echtzeitinteraktionen zu verwalten. All das ist nicht nur entscheidend für den reibungslosen Betrieb des Metaverse, sondern spielt auch eine große Rolle für dessen Sicherheit“, so der CISPA-Forscher. Herauszufinden, ob es beim Zugang zum Metaverse über Webbrowser Sicherheitslücken gibt, war Mengascinis Ziel.
Die Fragen und das Vorgehen des Forschers
Für seine Studie stellte sich Mengascini drei konkrete Fragen: 1. Welche Entitäten, also etwa User und Objekte sind in Metaversen vorhanden und welche Attribute wie Position, Aussehen etc. werden diesen zugeordnet? 2. Wo werden diese Elemente im Speicher abgelegt, und welchen Zugriff können Angreifer:innen auf den Speicher erlangen? 3. Wie kann der Speicher für Angriffe ausgenutzt werden? Über eine Google-Suche identifizierte der CISPA-Forscher zunächst 27 Metaverse-Plattformen, die die WebXR-API-Schnittstelle nutzen. Im nächsten Schritt untersuchte er drei davon näher, die hinsichtlich Popularität, Nutzeraktivität, Internetverkehr und der Berichterstattung über reale Ereignisse am besten abschnitten. Die Methode die Mengascini dafür wählte, war das Erstellen sogenannter Memory Snapshots, eine Momentaufnahme der Objekte im Speicher. Die Snapshots wurden vor und nach dem Ausführen einer bestimmen Aktion, wie der Bewegung eines Avatars von A nach B, aufgenommen. Danach wurde mithilfe eines Algorithmus überprüft, ob es Veränderungen gab und ob sich Informationen darüber aus dem Speicher des Webbrowsers auslesen lassen.
Speicher sind sehr einfach zugänglich
„Die wichtigste Erkenntnis ist, dass es diesen Plattformen an einfachsten Sicherheitsmechanismen mangelt“, erklärt Mengascini. „Das Problem ist, dass vor allem der Speicher der Browser viel zu einfach zugänglich ist.“ Selbst ein Laie könne mit etwas Übung sowohl auf den Quellcode als auch auf die eigentlichen Objekte im Speicher zugreifen. „Darüber hinaus haben wir herausgefunden, dass diese Plattformen eigentlich normale Praktiken des guten Programmierens bei der Entwicklung von Webanwendungen vermasselt haben“, so der Forscher weiter. „Die Entwickler:innen der Plattformen haben übersehen, dass durch eine Mischung aus nicht überprüften clientseitigen Informationen und einer übermäßigen Weitergabe von Informationen an den Client Angriffe möglich sind.“
Was all dies konkret bedeutet, erläutert Mengascini an einem Beispiel: „Nehmen wir mal an, es gäbe einen CISPA-Metaverse mit einem exakten Nachbau unseres Gebäudes. Was ich geschildert habe, würde bedeuten, dass die Computer eines jeden Users alle Information darüber bekommen, was am CISPA gerade passiert: Wer mit wem in welchem Raum spricht, wo sich einzelne Personen befinden und wie sie sich bewegen, inklusive der genauen Positionen der Wände. Daraus errechnet mein Computer die virtuelle Umgebung und sorgt etwa dafür, dass eine Wand verhindert, dass ich Gespräche im Büro des Direktors mithören kann. Gleichwohl hat der Browser aber die Information, was in dem Raum gesprochen wird. Und das ist schlecht. Auch wenn man mit einem normalen Client nicht mithören kann, können diese Informationen von Angreifer:innen recht einfach extrahiert werden. Deswegen ist es wichtig, nicht zu viele Informationen zu teilen.“
Mögliche Angriffsszenarien
Aus dieser Sicherheitslücke ergeben sich laut Mengascini eine Reihe möglicher Angriffsszenarien. Grundlegend ist die Erkenntnis, dass es für Angreifer:innen möglich ist, die Avatar- und die Kamera-Position von Angreifer:innen und Opfer sowie deren Aussehen unabhängig voneinander anzusteuern. Angreifer:innen können zum Beispiel die ihre Kamera unabhängig von ihrem Avatar bewegen, erklärt Mengascini. „Damit können sich Angreifer:innen ungesehen im Raum positionieren und mithören“, so Mengascini weiter. Eine andere Möglichkeit ist, dass Angreifer:innen ohne Wissen der Nutzer:innen deren Kamera-Inhalte sehen können. „Das ist als würden sich Angreifer:innen die VR-Brille des Nutzers aufsetzen, ohne dass dieser es merkt“, erklärt der Forscher. Damit dies nicht passiert, müssten möglichst viele Informationen auf Seite des Servers verbleiben, was dort jedoch zu einer erhöhten Rechenleistung führen würde. Genau dies ist laut Mengascini auch einer der Gründe, warum die Metaverse-Plattformen so stark auf die Webbrowser setzen.
Neue Forschungsfragen als Take-Away
Wie in der Cybersicherheitsforschung üblich, wurden die drei Plattformen über die Sicherheitslücken informiert und ihnen Zeit gegeben, diese zu schließen. Umgesetzt hat dies bisher keine der drei Plattformen, weshalb deren Namen im veröffentlichten Paper weiter anonymisiert sind. „Aus Forschersicht bin ich auf der einen Seite natürlich besorgt darüber, dass die Plattformen sich nicht auf die Sicherheit konzentrieren wollen oder dazu nicht die Manpower haben“, erzählt Mengascini. „Auf der anderen Seite vertrete ich den Standpunkt, dass wir als Forscher jetzt eine offene Forschungsfrage haben. Vielleicht ist es an der Zeit, dass wir Sicherheitsmechanismen vorschlagen, wie Angriffe verhindert oder zumindest erschwert werden können.“ Ideen, welche Schutzmechanismen implementiert werden könnten, hat er bereits. Dabei denkt er vor allem daran, das Wissen aus der Entwicklung von Onlinespielen zu nutzen und auf Metaverse zu übertragen. Wobei Mengascini bewusst ist, dass viele der Ansätze immer auch Nachteile mit sich bringen und noch ausführlich zu testen sind. Dieser Herausforderung will er sich jedoch in nächster Zeit stellen.
