Lỗi QuickTime đe dọa người dùng Second Life

Hai chuyên gia nghiên cứu bảo mật - Charlie Miller và Dino Dai Zovi – đã khiến toàn bộ những người tham gia Hội nghị hacker ShmooCon phải hướng sự chú ý về Second Life bằng một màn trình diễn ngoạn mục khả năng khai thác một lỗi bảo mật chết người trong thế giới ảo này.

Tuy nhiên, lỗi bảo mật bị lợi dụng ở đây không phải là một lỗi trực tiếp trong mã nguồn Second Life mà là lỗi trong ứng dụng đa phương tiện QuickTime bổ sung thêm cho thế giới ảo này. Lỗi này hoàn toàn có thể bị lợi dụng để ăn cắp dữ liệu cá nhân của người dùng Second Life.

Miller và Zovi cho biết nguyên nhân phát sinh lỗi bảo mật nói trên là bởi đối tượng đa phương tiện (multimedia objects) không được lưu trữ và kiểm soát trên máy chủ Second Life như các hình thức giao tiếp khác giữa các người dùng Second Life. Chính vì thế mà đối tượng đa phương tiện hoàn toàn có thể bị lợi dụng để tạo liên kết với mã độc giúp tin tặc tuồn phần mềm độc hại vào PC người dùng.

Trong màn trình diễn tại Hội nghị ShmooCon, Miller và Zovi đã khai thác một lỗi đối tượng đa phượng QuickTime trên kênh RTSP. Hai chuyên gia này đã tạo thành công một mối liên kết giữa mã độc với các yếu tố bổ sung cho nhân vật đại diện người dùng (avatar) trong thế giới ảo Second Life như tóc, quần áo ... thông qua “một chiếc hộp màu hồng nguy hiểm”.

Bất kỳ khi nào nhân vật của người dùng Second Life tiến gần đến chiếc hộp màu hồng thì PC của họ sẽ bị lây nhiễm một loại mã độc. Chức năng chính của mã độc này là ăn cắp thông tin tài khoản và tiền ảo trong thế giới Second Life. Từ tiền ảo này chúng hoàn toàn có thể quy đổi ra tiền thật. Hiện trên Internet tỉ giá quy đổi là 1 USD ăn 275 đồng tiền ảo Second Life.

Chính vì có giá trị lợi nhuận tiền thật nên hai chuyên gia cảnh báo tương lai Second Life hoàn toàn có thể trở thành mục tiêu ưa thích của giới tin tặc. Người dùng được khuyến cáo nên vô hiệu hóa các tính năng đa phương tiện và không nên chấp nhận chạy bất kỳ đoạn video dạng luồng (streaming).