Mangelnde Sicherheit in virtueller Welt:
Lücke ermöglicht Geldklau in Second Life
Die Möglichkeit, durch eine Sicherheitslücke in QuickTime Linden Dollars im Online-Spiel Second Life zu stehlen, haben zwei Sicherheitsexperten auf der Hacker-Konferenz ShmooCon demonstriert. Die Vorführung von Charlie Miller von Independent Security Evaluators und Dino Dai Zovi ist insofern von Bedeutung, da virtuelle Linden Dollars einen realen Geld-Gegenwert repräsentieren.
Es ist die Kombination zweier Faktoren, durch den Miller und Zovi den virtuellen Diebstahl bewerkstelligen können. Second Life erlaubt es, externe Video-Inhalte über QuickTime einzubinden und diese ständig, auch ohne Nutzerinteraktion, laufen zu lassen. Das ist ein Sicherheitsrisiko, wie die Experten nun bewiesen haben - zumindest, wenn QuickTime seinerseits eine geeignete Sicherheitslücke bietet. Durch eine solche Lücke, die Angreifer zum Ausführen beliebigen Codes nutzen können, haben Miller und Zovi den Diebstahl von Linden Dollars bewerkstelligt.
"I got hacked"
Schon vor der Hacker-Konferenz haben die Sicherheitsexperten auf YouTube ein Video eines Experiments veröffentlicht, bei dem sie einem Testavatar zwölf Linden Dollar abnehmen und diesen zum Ausruf "I got hacked" ("Ich wurde gehackt") zwingen. Sie haben dazu eine rosa Box auf einem Grundstück platziert, die mit dem entsprechenden QuickTime-Code verbunden ist. Bei der ShmooCon-Demonstration haben Miller und Zovi nun öffentlich gezeigt, dass ein Second-Life-Avatar nur nahe genug an die Box kommen muss, um Opfer des Linden-Dollar-Diebstahls zu werden. Theoretisch könne eine solche Box auch versteckt platziert oder mit den Attributen eines Avatars verbunden werden, warnten die Experten.
Da Linden Dollars zu einem Wechselkurs von derzeit etwa 275 Linden Dollar für einen Dollar reales Geld wert sind, sehen die Experten einen Anreiz für Cyberkriminelle, entsprechende Angriffe zu starten. Zum Schutz sollten Nutzer des virtuellen zweiten Lebens Video-Streaming in Second Life deaktivieren oder zumindest ihre Einstellungen so anpassen, dass sie vor dem Abspielen von Video-Inhalten gefragt werden.
Lücke bereits geschlossen
Miller und Zovi nutzen laut Angaben bei ihrem Exploit den im November 2007 entdeckten QuickTime-Fehler im Umgang mit dem Real Time Streaming Protocol (RTSP), der damals von Secunia-Analysten als "extrem kritisch" eingestuft wurde. Damit zeigt das Beispiel aber auch die von Sicherheitsexperten immer wieder betonte Bedeutung regelmäßiger Software-Updates: Die betreffende QuickTime-Lücke wurde laut Apple mit QuickTime 7.3.1 geschlossen. (pte/red)