Как взломать Second Life через QuickTime

Специалист по безопасности Чарли Миллер (Charlie Miller) рассказал, как ему в 2007 году удалось взломать игру Second Life и создать виртуальный объект, который грабит прохожих. Этот объект можно было поместить где угодно — в лесу, в баре, посреди оживлённой улицы, или повесить в воздухе.

Уязвимость связана с тем, что в Second Life используется QuickTime Player для отображения мультимедиа. Для него есть известные дыры, причём некоторые до сих пор не закрыты. Одну из таких дыр и использовал Чарли Миллер, который сделал маленький розовый кубик с анимацией на всех гранях. Если аватар взглянет на кубик (на фото показано, как одна из жертв делает это), то он будет автоматически взломан. Можно похитить виртуальное имущество человека и даже получить доступ к счёту в реальном банке, который привязан к аккаунту Second Life.

Чарли Миллер написал этот хак ещё в 2007 году. Он говорит, что это самый интересный эксплойт, который создал в своей жизни: ведь люди реально могли с ним контактировать, смотреть на него и даже трогать.

На видео показано, как вредоносный объект заставляет проходящую мимо гражданку заплатить 12 линден-долларов и прокричать слова «I’ve been hacked».

P.S. Интересно, а есть ли в нашем офлайновом мире аналогичные «эксплойты», которые при взгляде на них автоматически повышают давление или уровень гормонов в крови? Учёные говорят, что такие эксплойты существуют. Что поделаешь, природа тоже несовершенна и оставляет некоторые незакрытые уязвимости.

P.P.S. После публикации этой истории вчера на Slashdot компания Apple закрыла упомянутую уязвимость в QuickTime.

+53

19 августа 2010, 16:52

alizar 2240,6 G+

комментарии (48)

lifestar 19 августа 2010, 17:13 #

I got hacked кричит

–2

Chikey 19 августа 2010, 20:59 # ↑

Непойму что у них так «got» популярен. Have been вполне подходит…

–4

netrider 19 августа 2010, 22:17 # ↑

Это больше британский вариант, в штатах меня из-за этого гота не понимали. Но есть одна поправка, если надо подчеркнуть плохой момент, то британские ругательства и сленг очень даже подходят. Например cunt больше британское слово, американцы предпочитают horse. Но cunt они тоже применяют в исключительных моментах.

Apach 20 августа 2010, 18:13 # ↑

Надпись на курточке: «HORSE» :). Четверг (Thursday).

Eugney 19 августа 2010, 23:24 # ↑

«got» короче

НЛО прилетело и опубликовало эту надпись здесь

+19

mrtigra 19 августа 2010, 17:35 #

… годы идут, а персонажи всё такие же страшные :(

EMoney 19 августа 2010, 19:03 # ↑

Ну, друг, это же MMO-забава… Там и не должно быть шикарной графики, ведь цель какая? Чтобы в игру смогло поиграть как можно больше людей, даже с очень тухленькими системами и с очень слабым интернет-коннектом. Думается, битвы с участием нескольких сотен юнитов и графикой Crysis 2 не потянет никто.

Однако, графика в MMO-играх тоже может быть приличной, рекомендую обратить внимание на:
— Age of Conan: Rise of the Godslayer
— All Points Bulletin
— Need for Speed World

Или вот, EverQuest 2: Sentinel's Fate.

Goodkat 19 августа 2010, 19:36 # ↑

В играх обычно можно менять детализацию графики с «у меня пятилетний комп» до «у меня шестиядерный Core i7 с четырьмя последними ATI Radeon HD5970»

CLR 19 августа 2010, 20:11 # ↑

В данном случае здесь нет «графики», все создается игроками.

+12

daD 19 августа 2010, 20:30 # ↑

это все потому что дип-программа не включена ;)

sht0rm 19 августа 2010, 17:38 #

То была «незаконная торговля артефактами» теперь вердикт будет звучать: «используя уязвимости в программном обеспечении тайно завладел чужим виртуальным имуществом»?

sht0rm 19 августа 2010, 17:39 # ↑

и штрафа на пару млн $

Goodkat 19 августа 2010, 18:14 # ↑

Чем это отличается от «используя уязвимости в программном обеспечении (банкомата) тайно снял деньги с чужого, но не менее виртуального, банковского счёта»?

+63

galk_in 19 августа 2010, 17:44 #

Интересно, а есть ли в нашем офлайновом мире аналогичные «эксплойты», которые при взгляде на них автоматически повышают давление или уровень гормонов в крови?

Конечно. Вот например:

+76

calg0n 19 августа 2010, 17:46 # ↑

I got hacked! 0_0

–37

andronidze 19 августа 2010, 17:58 # ↑

Не последовало никакой реакции, я нормален?

DpyuD 19 августа 2010, 18:07 # ↑

надо чаще проверяться!!!

+21

develop7 19 августа 2010, 18:11 # ↑

«I've got bad news for you…» ©

–2

andronidze 19 августа 2010, 18:16 # ↑

What kind of news?

Nesp 19 августа 2010, 18:56 # ↑

Cololrful and fresh news, if you catch my drift.

–1

asm0dey 19 августа 2010, 23:48 # ↑

что значит catch drift?

Nesp 20 августа 2010, 15:35 # ↑

В данном случае «если вы понимаете о чем я».

–4

Sketch_Turner 19 августа 2010, 20:23 # ↑

«God news everyone!» ©

SmartBye 19 августа 2010, 18:19 # ↑

Я думаю что оригинальный эксплоит будет много лучше работать.

НЛО прилетело и опубликовало эту надпись здесь

–1

Nidaylokn 19 августа 2010, 20:41 # ↑

Нет.

aristoc 19 августа 2010, 17:58 # ↑

Супер!

+14

ValdikSS 19 августа 2010, 18:08 # ↑

ValdikSS paid you L$12.

pehat 19 августа 2010, 19:20 # ↑

Тут же глянул на календарь. Пятница вроде завтра.

wazd 19 августа 2010, 19:22 # ↑

Я чет даже забыл про что пост был.

tangro 19 августа 2010, 20:34 # ↑

Ну, тот эксплоит в игре сработал для персонажа женского пола. Этот нет. Есть над чем работать.

phillennium 19 августа 2010, 21:17 # ↑

mokaton 20 августа 2010, 01:57 # ↑

А это вы пытаетесь хакнуть немногочисленных дам, посещающих хабр? )))

j1nn 21 августа 2010, 22:16 # ↑

верхняя лучше:)

xaja 27 августа 2010, 09:23 # ↑

это вы зря, что на девушек это не срабатывает)

–2

EzS 19 августа 2010, 18:01 #

Сбылась мечта Кирилла, который хотел грабить корованы -)

r13 19 августа 2010, 18:03 #

Джонни, военные дельфины и все-все-все… Движимся потихоньку.

asm0dey 19 августа 2010, 23:49 # ↑

тоже подумал. ну и гиперион там же.

teonoman 19 августа 2010, 18:48 #

А корованы этот объект умеет грабить?

or10n 19 августа 2010, 18:55 #

… к счёту в реальном банке, который привязан к аккаунту Second Life
Они психи (игроки всмысле)

noma4i 19 августа 2010, 19:12 #

как же тормозит игра…

System32 19 августа 2010, 21:47 #

Если аватар взглянет на кубик (на фото показано, как одна из жертв делает это), то он будет автоматически взломан.

Глубина, глубина, я не твой! Отпусти меня, глубина!

aliev 20 августа 2010, 00:10 #

Эксплоит был создан в 2007, а опубликована статья только сегодня. В легальный бизнес парень ушел :)

–3

antonxt 20 августа 2010, 12:18 #

В реальной жизни такие «эксплойты» встречаются постоянно. Всякие бабки «дай на хлеб», несчастные матери «дай ребёнку на операцию».

В метро, иду мимо девушки. Обычная, скорее симпатичная, чем страшная, но ничего особенного. «Ой, молодой человек, у вас не будет 20 рублей на автобус?» Отморозился, сделав вид, что нет. Надо было сказать: «У меня есть деньги, но я тебе не дам». Или, если бы это не так было похоже на развод: «Пойдём, я тебя на автобус посажу». Пока гулял по станции, она другого парня на бабло развела и, судя по всему, уходить никуда не собиралась.

Ещё стандартная тема. Кончился бензин, денег нет. Дома ждёт ребёнок, надо покормить. Бла-бла-бла. Деньги вроде как должны были вернуть, положив на телефон. Конечно, ничего не положили. -300р.

Еду с открытым верхом после покатушки на роликах. Голосует куколка с большими сиськами. Останавливаюсь — может, по пути? «Тебе куда, красавица?» «Мне на белорусскую, я в клуб еду». «Сколько дашь?» «Ой, у меня денег нет» (закатывает глазки, улыбается), «но мне очень надо. Ну пожааалуйста» А ведь сразу стали появляться мысли — ну что мне стоит, до Белорусской метнуться, с такими сиськами рядом? :) Но разум возобладал и я предложил прокатиться до Рублёвки, куда ехал. Она, конечно, отказалась. Надо было познакомиться. Но хотя бы не дал сесть себе на шею.

Ребята, эксплойты везде :) Не давайте себе крутить яйца.